모질라 재단에서 제공을 하는 브라우저인 파이어폭스 브라우저 127.0 보안 업데이트가 진행이 되었습니다.
파이어폭스 127.0 변경 사항
보안 및 개인 정보 보호 개선
Firefox 127.0에는 보안 및 개인 정보 보호 기능이 향상
윈도우 및 macOS 사용자는 내장된 비밀번호 관리자에 액세스할 때 인증을 요청하도록 브라우저를 구성할 수 있습니다.
새로운 옵션은 비밀번호 입력 및 관리를 위해 장치 로그인 요청입니다. 이는 브라우저의 개인정보 보호 아래 기본 설정에 있으며
about:preferences#privacy를 로드하여 해당 페이지로 바로 이동할 수 있습니다. 보호 기능을 추가하려면 기본적으로 비활성화되어 있는 옵션을 선택
지문 정보를 줄여 Linux의 개인 정보 보호를 향상
Firefox는 Firefox의 User-Agent 문자열 및 웹 API에서 32비트 x86 Linux 시스템을 x86_64로 보고
HTTPS 페이지의 HTTP 미디어 업그레이드
Firefox는 프로토콜을 HTTPS로 업그레이드할 수 없는 경우 더는 HTTPS 페이지에서 HTTP 미디어(이미지, 비디오 또는 오디오 파일)를 재생하지 않습니다.업그레이드할 수 없는 파일은 더는 브라우저에서 로드되지 않습니다.
기본 설정을 변경하면 이 작업을 취소할 수 있습니다.
security.mixed_content.block_display_content를 FALSE로 변경
security.mixed_content.upgrade_display_content를 FALSE로 변경
혼합 콘텐츠가 업그레이드될 때마다 콘솔이 강조 표시
Firefox는 페이지에 혼합 콘텐츠를 나타내는 아이콘을 더는 표시하지 않습니다.
기타 변경 사항 및 수정 사항
운영 체제가 시작될 때 윈도우 에서 Firefox를 자동으로 시작하는 새로운 옵션
해당 옵션은 일반 아래의 기본 설정에 있습니다. 컴퓨터가 시작될 때 자동으로 Firefox 열기라고 합니다.
rel="dns-prefetch" 링크 힌트를 지원
이를 통해 개발자는 브라우저에서 우선으로 조회해야 하는 도메인 이름을 제안할 수 있습니다.
모든 탭 나열 위젯에는 새로운 중복 탭 닫기 작업이 있음
macOS에서는 링크 및 기타 포커스 가능한 요소가 탭 탐색 가능하지 않습니다.
사용자는 설정에서 이전 기본 값을 복원할 수 있습니다.
파이어폭스에 내장된 스크린 샷 도구는 이제 SVG 및 XML을 포함한 특정 파일 유형뿐만 아니라 여러 내부 about: pages의 스크린샷을 찍을 수 있습니다. 성능도 향상
보안 업데이트 내용
CVE-2024-5687: An incorrect principal could have been used when opening new tabs
Description:If a specific sequence of actions is performed when opening a new tab, the triggering principal associated with the new tab may have been incorrect. The triggering principal is used to calculate many values, including the Referer and Sec- headers, meaning there is the potential for incorrect security checks within the browser in addition to incorrect or misleading information sent to remote websites.
This bug only affects Firefox for Android. Other versions of Firefox are unaffected.*
CVE-2024-5688: Use-after-free in JavaScript object transplant
Description:If a garbage collection was triggered at the right time, a use-after-free could have occurred during object transplant.
CVE-2024-5689: User confusion and possible phishing vector via Firefox Screenshots
Description:In addition to detecting when a user was taking a screenshot (XXX), a website was able to overlay the 'My Shots' button that appeared, and direct the user to a replica Firefox Screenshots page that could be used for phishing.
CVE-2024-5690: External protocol handlers leaked by timing attack
Description:By monitoring the time certain operations take, an attacker could have guessed which external protocol handlers were functional on a user's system.
CVE-2024-5691: Sandboxed iframes were able to bypass sandbox restrictions to open a new window
Description:By tricking the browser with a X-Frame-Options header, a sandboxed iframe could have presented a button that, if clicked by a user, would bypass restrictions to open a new window.
CVE-2024-5692: Bypass of file name restrictions during saving
Description:On Windows, when using the 'Save As' functionality, an attacker could have tricked the browser into saving the file with a disallowed extension such as .url by including an invalid character in the extension. Note: This issue only affected Windows operating systems. Other operating systems are unaffected.
CVE-2024-5693: Cross-Origin Image leak via Offscreen Canvas
Description:Offscreen Canvas did not properly track cross-origin tainting, which could be used to access image data from another site in violation of same-origin policy.
CVE-2024-5694: Use-after-free in JavaScript Strings
Description:An attacker could have caused a use-after-free in the JavaScript engine to read memory in the JavaScript string section of the heap.
CVE-2024-5695: Memory Corruption using allocation using out-of-memory conditions
Description:If an out-of-memory condition occurs at a specific point using allocations in the probabilistic heap checker, an assertion could have been triggered, and in rarer situations, memory corruption could have occurred.
CVE-2024-5696: Memory Corruption in Text Fragments
Description:By manipulating the text in an <input> tag, an attacker could have caused corrupt memory leading to a potentially exploitable crash.
CVE-2024-5697: Website was able to detect when Firefox was taking a screenshot of them
Description:A website was able to detect when a user took a screenshot of a page using the built-in Screenshot functionality in Firefox.
CVE-2024-5698: Data-list could have overlaid address bar
Description:By manipulating the fullscreen feature while opening a data-list, an attacker could have overlaid a text box over the address bar. This could have led to user confusion and possible spoofing attacks.
CVE-2024-5699: Cookie prefixes not treated as case-sensitive
Description:In violation of spec, cookie prefixes such as __Secure were being ignored if they were not correctly capitalized - by spec they should be checked with a case-insensitive comparison. This could have resulted in the browser not correctly honoring the behaviors specified by the prefix.
CVE-2024-5700: Memory safety bugs fixed in Firefox 127, Firefox ESR 115.12, and Thunderbird 115.12
Description:Memory safety bugs present in Firefox 126, Firefox ESR 115.11, and Thunderbird 115.11. Some of these bugs showed evidence of memory corruption and we presume that with enough effort some of these could have been exploited to run arbitrary code.
CVE-2024-5701: Memory safety bugs fixed in Firefox 127
Description:Memory safety bugs present in Firefox 126. Some of these bugs showed evidence of memory corruption and we presume that with enough effort some of these could have been exploited to run arbitrary code.
파이어폭스를 사용을 하시는 분들은 보안 업데이트를 해서 사용을 하시는 것을 추천 합니다.
특정 사이트에서는 미디어 재생이 중단될 수도 있습니다.
요약
Firefox 127은 브라우저의 여러 보안 문제를 해결
Firefox ESR 128은 2024년 7월 9일에 출시
macOS 및 Windows 장치의 Firefox 비밀번호 관리자에 추가 보호 기능을 추가하는 옵션
이제 브라우저는 새로운 DNS 프리페칭 명령을 지원
HTTP를 사용하는 HTTPS 웹사이트의 미디어 요소가 업그레이드 실패하면 더는 로드되지 않습니다.
'소프트웨어 팁 > 보안 및 분석' 카테고리의 다른 글
Kaspersky(카스퍼스키)가 미국에서 금지되면 사용자 대책 (0) | 2024.06.24 |
---|---|
북한 해킹 그룹인 Konni(코니)로 추정 이 되는 2024년 북한인권 민간단체 전략활동 지원사업 신청서.lnk(2024.6.11) (0) | 2024.06.21 |
국세청 사칭 북한의 해킹 그룹 Konni(코니)에서 만든 악성코드-VAT.hwp(2024.6.13) (0) | 2024.06.18 |
Bitwarden Authenticator 다른 인증 앱에서 TOTP 토큰 가져 오는 방법 (0) | 2024.06.17 |
윈도우 10 KB5039211,윈도우 11 KB5039212 보안 업데이트 (0) | 2024.06.13 |
북한 해킹 단체 김수키(Kimsuky)에서 만든 피싱 안드로이드 악성코드-8.aab(2024.3.22) (0) | 2024.06.11 |
우리 북한 해킹 단체 Reaper(리퍼)에서 만든 악성코드-인문사회분야 박사과정생 연구장려금지원 신청자격 요건 확인서.hwp(2024.5.24) (0) | 2024.06.06 |
북한의 해킹 그룹 Konni(코니)에서 만든 악성코드-김명희_20240515.xlsx(2024.5.16) (0) | 2024.06.03 |