울지않는벌새 : Security, Movie & Society

업데이트 : Mozilla Firefox 37.0

벌새::Security

모질라(Mozilla) 재단에서 제공하는 오픈 소스 기반 Mozilla Firefox 웹 브라우저가 새로운 기능, 버그(Bug) 수정 및 17건의 보안 취약점 문제를 해결한 Mozilla Firefox 37.0 정식 버전을 업데이트 하였습니다.

  • Heartbeat user rating system - your feedback about Firefox
  • Yandex set as default search provider for the Turkish locale
  • Bing search now uses HTTPS for secure searching
  • Improved protection against site impersonation via OneCRL centralized certificate revocation
  • Opportunistically encrypt HTTP traffic where the server supports HTTP/2 AltSvc

이번 버전에서는 Bing 검색 엔진 이용시 HTTPS 보안 검색을 이용할 수 있으며, Firefox 웹 브라우저에 대한 피드백을 위해 Heartbeat 사용자 등급 시스템을 도입하였습니다.

웹 서버 인증서 악용과 관련된 보안 조치로 OneCRL 도입을 통해 실시간으로 OCSP 서버를 통해 인증서 유효성 검사를 할 수 있도록 기능이 추가되었습니다.

또한 HTTP/2 프로토콜을 지원하는 서버에서 HTTP 트래픽에 대한 OE(Opportunistic Encryption) 암호화를 할 수 있도록 지원하고 있습니다.

 

그 외 이번 업데이트에서의 다양한 수정 사항과 관련해서는 Mozilla Firefox 37.0 Release Note 정보를 참고하시기 바랍니다.

 

보안 취약점과 관련된 수정 사항에서는 Critical 등급(4개), High 등급(2개), Moderate 등급(5개), Low 등급(2개)에 대한 13개의 보안 패치가 포함되어 있습니다.

 

■ Critical 등급

 

(1) MFSA 2015-30 : Miscellaneous memory safety hazards (rv:37.0 / rv:31.6)

  • CVE-2015-0814 : Memory safety bugs fixed in Firefox 37.
  • CVE-2015-0815 : Memory safety bugs fixed in Firefox ESR 31.6 and Firefox 37.

(2) MFSA 2015-31 : Use-after-free when using the Fluendo MP3 GStreamer plugin

  • CVE-2015-0813 : heap-use-after-free at AppendElements

(3) MFSA 2015-38 : Memory corruption crashes in Off Main Thread Compositing

  • CVE-2015-0805 : Memset crash in mozilla::layers::BufferTextureClient::AllocateForSurface
  • CVE-2015-0806 : Negative-size-param memset in mozilla::layers::BufferTextureClient::AllocateForSurface

(4) MFSA 2015-39 : Use-after-free due to type confusion flaws

  • CVE-2015-0803 : Type confusion in HTMLSourceElement::AfterSetAttr
  • CVE-2015-0804 : Type confusion in HTMLSourceElement::BindToTree

■ High 등급

 

(1) MFSA 2015-37 : CORS requests should not follow 30x redirections after preflight

  • CVE-2015-0807 : CORS request after preflight should not follow 30x redirect

(2) MFSA 2015-40 : Same-origin bypass through anchor navigation

  • CVE-2015-0801 : A variant of Bug 1144988 lets one bypass same-origin policy

 Moderate 등급

 

(1) MFSA 2015-32 : Add-on lightweight theme installation approval bypassed through MITM attack

  • CVE-2015-0812 : Addon permissions exposed to man-in-the-middle attacks

(2) MFSA 2015-33 : resource:// documents can load privileged pages

  • CVE-2015-0816 : Privilege escalation from resource:// document (e.g. pdf viewer)

(3) MFSA 2015-34 : Out of bounds read in QCMS library

  • CVE-2015-0811 : [qcms] heap info leak

(4) MFSA 2015-35 : Cursor clickjacking with flash and images

  • CVE-2015-0810 : Cursor can be totally invisible using flash object and div (Mac OS X 환경)

(5) MFSA 2015-42 : Windows can retain access to privileged content on navigation to unprivileged pages

  • CVE-2015-0802 : Privileged Window.webidl stuff is exposed based on the docshell type, not the principal of the actual page

■ Low 등급

 

(1) MFSA 2015-36 : Incorrect memory management for simple-type arrays in WebRTC

  • CVE-2015-0808 : Mismatched free() / delete / delete [] in webrtc::VPMContentAnalysis::Release()

(2) MFSA 2015-41 : PRNG weakness allows for DNS poisoning on Android

  • CVE-2012-2808 : Weak randomness in Android's DNS resolver
  • CVE-2015-0800 : Fennec name resolver uses weak DNS randomness

그러므로 Mozilla Firefox 웹 브라우저 사용자는 자동 업데이트(Firefox 메뉴 열기 → 도움말 메뉴 열기 → Firefox 정보) 기능을 이용하여 최신 버전으로 업데이트 후 웹 브라우저를 사용하시기 바랍니다.