본문 바로가기

벌새::Security

업데이트 : Mozilla Firefox 39.0.3

반응형

모질라(Mozilla) 재단에서 제공하는 오픈 소스 기반 Mozilla Firefox 웹 브라우저의 CVE-2015-4495 제로데이(0-Day) 보안 취약점 문제를 해결한 Mozilla Firefox 39.0.3 버전이 긴급 업데이트 되었습니다.

MFSA 2015-78 : Same origin violation and local file stealing via PDF reader - 긴급

  • CVE-2015-4495 : It's possible to read local files or perform privilege escalation by using a native setter

해당 업데이트는 Firefox, Firefox ESR 최신 버전에서 러시아(Russia) 언론 사이트 접속시 광고 배너를 통한 취약점(Exploit) 방식으로 자체 내장된 PDF Viewer의 동일 출처 정책(Same Origin Policy)과 권한이 없는 스크립트 삽입 방식으로 PC에 존재하는 민감한 파일을 읽어 우크라이나(Ukraine)에 위치한 특정 서버로 탈취할 수 있도록 허용하는 보안 취약점 문제를 해결하였습니다.

 

단, PDF Viewer 기능이 포함되어 있지 않은 Android용 Firefox 웹 브라우저는 해당 취약점의 영향을 받지 않습니다.

 

특히 해당 취약점은 임의의 코드 실행을 통한 방식이 아니지만 로컬 파일에 JavaScript payload를 삽입할 수 있어 원하는 파일에 대한 검색 및 파일 업로드가 가능합니다.

 

현재 해당 CVE-2015-4495 제로데이(0-Day) 보안 취약점을 이용하여 광범위하게 사이버 공격이 이루어지고 있다는 보고가 이루어진 상태입니다.

 

그러므로 Mozilla Firefox 웹 브라우저 사용자는 자동 업데이트(Firefox 메뉴 열기 → 도움말 메뉴 열기 → Firefox 정보) 기능을 이용하여 최신 버전으로 업데이트한 후 웹 브라우저를 사용하시기 바랍니다.

728x90
반응형