모질라(Mozilla) 재단에서 제공하는 오픈 소스 기반 Mozilla Firefox 웹 브라우저가 새로운 기능, 버그(Bug) 수정 및 15건의 보안 취약점 문제를 해결한 Mozilla Firefox 38.0 정식 버전을 업데이트 하였습니다.
- New tab-based preferences
- Ruby annotation support
- Base for the next ESR release
이번 버전에서는 일본(Japan) 사용자를 비롯한 동아시아 지역에서 오랫동안 요청하였던 웹 브라우저에서 루비(Ruby) 주석 기능이 포함되었습니다.
또한 옵션(about:preferences) 메뉴를 새 탭(Tab) 방식으로 표시하도록 변경하였으며, 그 외 자세한 수정 사항에 대해서는 Mozilla Firefox 38.0 Release Note 정보를 참고하시기 바랍니다.
보안 취약점과 관련된 수정 사항에서는 Critical 등급(6건), High 등급(6건), Moderate 등급(2건), Low 등급(1건)에 대한 13개의 보안 패치가 포함되어 있습니다.
■ Critical 등급
(1) MFSA 2015-46 : Miscellaneous memory safety hazards (rv:38.0 / rv:31.7)
- CVE-2015-2708 : Memory safety bugs fixed in Firefox ESR 31.7 and Firefox 38
- CVE-2015-2709 : Memory safety bugs fixed in Firefox 38
(2) MFSA 2015-48 : Buffer overflow with SVG content and CSS
- CVE-2015-2710 : Heap-buffer-overflow in SVGTextFrame
(3) MFSA 2015-50 : Out-of-bounds read and write in asm.js validation
- CVE-2015-2712 : Incorrect asm.js bounds check elimination vulnerability
(4) MFSA 2015-51 : Use-after-free during text processing with vertical text enabled
- CVE-2015-2713 : heap-use-after-free in SetBreaks
(5) MFSA 2015-54 : Buffer overflow when parsing compressed XML
- CVE-2015-2716 : Buffer overflow xml parser
■ High 등급
(1) MFSA 2015-47 : Buffer overflow parsing H.264 video with Linux Gstreamer
- CVE-2015-0797 : heap-buffer-overflow (read of size 0xffffffff) when playing a m4v video
(2) MFSA 2015-55 : Buffer overflow and out-of-bounds read while parsing MP4 video metadata
- CVE-2015-2717 : Integer overflow in libstagefright might lead to heap overflow
(3) MFSA 2015-56 : Untrusted site hosting trusted page can intercept webchannel responses
- CVE-2015-2718 : Untrusted page can see webchannel responses
(4) MFSA 2015-57 : Privilege escalation through IPC channel messages
- CVE-2011-3079 : IPC Channel does not validate the listener
(5) MFSA 2015-58 : Mozilla Windows updater can be run outside of application directory
- CVE-2015-0833 : The updater.exe loads the bcrypt.dll and other dll's from the working and binary directory when not using the service
- CVE-2015-2720 : Run updater.exe from the application directory when not using the service for an update
■ Moderate 등급
(1) MFSA 2015-52 : Sensitive URL encoded information written to Android logcat
- CVE-2015-2714 : Mixed content violation log on Fennec leaks sensitive info in URL
(2) MFSA 2015-53 : Use-after-free due to Media Decoder Thread creation during shutdown
- CVE-2015-2715 : heap-use-after-free in nsThreadManager::RegisterCurrentThread during shutdown
■ Low 등급
(1) MFSA 2015-49 : Referrer policy ignored when links opened by middle-click and context menu
- CVE-2015-2711 : <meta name="referrer"> is ignored for navigations from the context menu and via a middle-click
그러므로 Mozilla Firefox 웹 브라우저 사용자는 자동 업데이트(Firefox 메뉴 열기 → 도움말 메뉴 열기 → Firefox 정보) 기능을 이용하여 최신 버전으로 업데이트 후 웹 브라우저를 사용하시기 바랍니다.