본문 바로가기

벌새::Security

업데이트 : Mozilla Firefox 23.0

반응형

모질라(Mozilla) 재단에서 제공하는 오픈 소스 기반 Mozilla Firefox 웹 브라우저가 새로운 기능 추가, 버그(Bug) 수정, 13건의 보안 취약점 문제를 해결한 Mozilla Firefox 23.0 정식 버전이 업데이트 되었습니다.

  • Mixed content blocking enabled to protects users from man-in-the-middle attacks and eavesdroppers on HTTPS pages
  • Options panel created for Web Developer Toolbox

이번 버전에서는 사용자가 보안(https/SSL)과 비보안(http) 콘텐츠가 혼합된 웹 사이트에 접속할 경우 MITM과 같은 공격으로부터 사용자를 보호할 목적으로 차단하도록 정책이 수정되었습니다.

 

  <Mozilla Security Blog> Mixed Content Blocking in Firefox Aurora (2013.5.16)

이해를 돕기 위해서 Internet Explorer 웹 브라우저를 이용하여 혼합된 콘텐츠가 포함된 웹 사이트에 접속할 경우 "보안 콘텐츠만 표시됩니다."라는 메시지가 생성되는 웹 사이트를 확인할 수 있습니다.

하지만 Mozilla Firefox 23.0 버전부터는 이러한 웹 사이트 접속시 "본 연결은 신뢰할 수 없음"으로 표시되어 웹 사이트 접속을 완전 차단하여 접근할 수 없도록 하고 있습니다.(※ 현재 환경 설정에서 해당 정책을 변경하는 방법은 확인되지 않고 있습니다.)

 

그 외 세부적인 수정 사항에 대해서는 Mozilla Firefox 23.0 Release Note 정보를 참고하시기 바랍니다.

 

Mozilla Firefox 23.0 버전에서는 Critical 등급(4건), High 등급(7건), Moderate 등급(1건), Low 등급(1건)에 대한 보안 취약점 문제를 해결한 보안 패치가 포함되어 있습니다.

 

(1) Critical 등급

  1. MFSA 2013-63 : Miscellaneous memory safety hazards (rv:23.0 / rv:17.0.8)
  2. MFSA 2013-64 : Use after free mutating DOM during SetBody
  3. MFSA 2013-65 : Buffer underflow when generating CRMF requests
  4. MFSA 2013-69 : CRMF requests allow for code execution and XSS attacks

(2) High 등급

  1. MFSA 2013-66 : Buffer overflow in Mozilla Maintenance Service and Mozilla Updater
  2. MFSA 2013-68 : Document URI misrepresentation and masquerading
  3. MFSA 2013-71 : Further Privilege escalation through Mozilla Updater
  4. MFSA 2013-72 : Wrong principal used for validating URI for some Javascript components
  5. MFSA 2013-73 : Same-origin bypass with web workers and XMLHttpRequest
  6. MFSA 2013-74 : Firefox full and stub installer DLL hijacking
  7. MFSA 2013-75 : Local Java applets may read contents of local file system

(3) Moderate 등급

  1. MFSA 2013-70 : Bypass of XrayWrappers using XBL Scopes

(4) Low 등급

  1. MFSA 2013-67 : Crash during WAV audio file decoding

최근 Mozilla Firefox 관련 보안 이슈 중 2013년 8월 4일경 Freedom Hosting에 의해 호스팅된 웹 사이트들이 토르 네트워크(Tor Network)를 통해 호스팅된 서버를 통해 CVE-2013-1690 취약점을 이용한 악성 스크립트를 통해 사이버 공격이 이루어졌다는 정보가 공개되었습니다.

 

당시 사용된 악성 스크립트는 Mozilla Firefox 웹 브라우저의 보안 취약점을 악용하였으며, Mozilla Firefox 22.0 버전과 Mozilla Firefox ESR 17.0.7 버전에서 이미 보안 패치가 이루어진 상태였습니다.

 

  <Symantec Security Response> Tor Anonymity Comes Under Attack (2013.8.6)

 

그러므로 Mozilla Firefox 웹 브라우저 사용자는 항상 최신 버전(Firefox 메뉴 → 도움말 → Firefox 정보)을 사용하시기 바라며, 보안 취약점에 노출된 구버전을 사용하여 악성코드 감염에 노출되지 않도록 주의하시기 바랍니다.

728x90
반응형