울지않는벌새 : Security, Movie & Society

업데이트 : Mozilla Firefox 6.0

벌새::Security
모질라(Mozilla)에서 제공하는 오픈 소스 Mozilla Firefox 웹 브라우저가 2011년 6월 22일 5.0 버전을 발표한데 이어 2개월만에 Mozilla Firefox 6.0 정식 버전을 출시하였습니다.

이번 버전에서 새롭게 추가된 기능과 수정된 항목은 다음과 같습니다.
  1. The address bar now highlights the domain of the website you're visiting
  2. Streamlined the look of the site identity block
  3. Added support for the latest draft version of WebSockets with a prefixed API
  4. Added support for EventSource / server-sent events
  5. Added support for window.matchMedia
  6. Added Scratchpad, an interactive JavaScript prototyping environment
  7. Added a new Web Developer menu item and moved development-related items into it
  8. Improved usability of the Web Console
  9. Improved the discoverability of Firefox Sync
  10. Reduced browser startup time when using Panorama
  11. Fixed several stability issues
  12. Fixed several security issues

특히 이번 버전에서는 Critical 등급(5개), High 등급(2개)에 대한 보안 문제를 해결한 패치가 포함되어 있습니다.

1. Critical 등급


  • Miscellaneous memory safety hazards (rv:4.0) : CVE-2011-2989, CVE-2011-2991, CVE-2011-2992, CVE-2011-2985

해당 취약점은 Firefox 4, 5, 기타 Mozilla 기반 웹 브라우저 엔진에서 몇 가지 메모리 변조와 관련된 버그를 통해 임의의 코드가 실행될 수 있는 취약점을 수정하였습니다.

  • Unsigned scripts can call script inside signed JAR : CVE-2011-2993

서명되지 않은 자바 스크립트가 서명된 JAR 내부의 스크립트를 불러올 수 있는 문제를 해결하였습니다.

  • String crash using WebGL shaders : CVE-2011-2988

과도하게 긴 WebGL Shader 프로그램이 Buffer Overflow 및 충돌을 유발할 수 있는 문제를 해결하였습니다.

  • Heap overflow in ANGLE library : CVE-2011-2987

모질라 WebGL 실행에 사용되는 ANGLE 라이브러리에서 잠재적인 Heap Overflow 취약점에 대한 문제가 해결되었습니다.

  • Crash in SVGTextElement.getCharNumAtPosition() : CVE-2011-0084

SVG 텍스트 조작 루틴에 포함된 dangling 포인터 취약점 문제가 해결되었습니다.

2. High 등급


  • Credential leakage using Content Security Policy reports : CVE-2011-2990

Content Security Policy violation reports에서 사용된 인증서 노출 문제가 해결되었습니다.

  • Cross-origin data theft using canvas and Windows D2D : CVE-2011-2986

Windows D2D 하드웨어 가속을 사용할 때 Canvas에서 삽입할 수 있는 하나의 도메인으로부터 이미지 데이터를 다른 도메인에 의해 읽을 수 있는 Cross-origin 데이터 탈취 문제가 해결되었습니다.

그 외에도 Mozilla 기반 웹 브라우저 Firefox 3.6.20, SeaMonkey 2.3 버전이 업데이트 되었으므로 참고하시기 바랍니다.

해당 웹 브라우저를 이용하시는 분들은 반드시 최신 버전으로 업데이트를 하여 인터넷을 이용하시기를 바랍니다.