본문 바로가기

벌새::Security

업데이트 : Mozilla Firefox 26.0

모질라(Mozilla) 재단에서 운영하는 오픈 소스 기반 Mozilla Firefox 웹 브라우저가 새로운 기능 추가, 버그(Bug) 수정 및 14건의 보안 취약점 문제를 해결한 Mozilla Firefox 26.0 정식 버전을 업데이트 하였습니다.

  • All Java plug-ins are defaulted to 'click to play'
  • Password manager now supports script-generated password fields
  • Updates can now be performed by Windows users without write permissions to Firefox install directory (requires Mozilla Maintenance Service)
  • Support for H.264 on Linux if the appropriate gstreamer plug-ins are installed

이번 버전에서 새롭게 추가된 기능 중에서 부가 기능으로 제공되는 Java 플러그인의 기본값을 "Click to Play" 방식으로 변경하여 보안을 강화한 부분을 살펴보도록 하겠습니다.

예를 들어 특정 웹 페이지에서 Java 플러그인의 동작이 필요한 콘텐츠가 포함되어 있을 경우 기본적으로 표시되지 않으며, 사용자가 해당 콘텐츠를 클릭하여 활성화를 시도할 경우 허가 여부를 묻는 창 생성을 통해 Java 플러그인이 동작하도록 정책을 변경하였습니다.

 

그 외 자세한 변경 사항은 Mozilla Firefox 26.0 Release Note 내용을 참고하시기 바라며, 보안 패치와 관련된 내용은 다음과 같습니다.

 

(1) Critical 등급

  1. MFSA 2013-104 : Miscellaneous memory safety hazards (rv:26.0 / rv:24.2)
  2. MFSA 2013-108 : Use-after-free in event listeners
  3. MFSA 2013-109 : Use-after-free during Table Editing
  4. MFSA 2013-111 : Segmentation violation when replacing ordered list elements
  5. MFSA 2013-114 : Use-after-free in synthetic mouse movement

(2) High 등급

  1. MFSA 2013-115 : GetElementIC typed array stubs can be generated outside observed typesets
  2. MFSA 2013-116 : JPEG information leak
  3. MFSA 2013-117 : Mis-issued ANSSI/DCSSI certificate

(3) Moderate 등급

  1. MFSA 2013-105 : Application Installation doorhanger persists on navigation
  2. MFSA 2013-110 : Potential overflow in JavaScript binary search algorithms
  3. MFSA 2013-113 : Trust settings for built-in roots ignored during EV certificate validation

(4) Low 등급

  1. MFSA 2013-106 : Character encoding cross-origin XSS attack
  2. MFSA 2013-107 : Sandbox restrictions not applied to nested object elements
  3. MFSA 2013-112 : Linux clipboard information disclosure though selection paste

그러므로 Mozilla Firefox 웹 브라우저 사용자는 자동 업데이트(Firefox 메뉴 → 도움말 → Firefox 정보) 기능을 통해 최신 버전으로 업데이트하시고 웹 브라우저를 이용하시기 바랍니다.