본문 바로가기

벌새::Security

업데이트 : Mozilla Firefox 38.0

모질라(Mozilla) 재단에서 제공하는 오픈 소스 기반 Mozilla Firefox 웹 브라우저가 새로운 기능, 버그(Bug) 수정 및 15건의 보안 취약점 문제를 해결한 Mozilla Firefox 38.0 정식 버전을 업데이트 하였습니다.

  • New tab-based preferences
  • Ruby annotation support
  • Base for the next ESR release

이번 버전에서는 일본(Japan) 사용자를 비롯한 동아시아 지역에서 오랫동안 요청하였던 웹 브라우저에서 루비(Ruby) 주석 기능이 포함되었습니다.

또한 옵션(about:preferences) 메뉴를 새 탭(Tab) 방식으로 표시하도록 변경하였으며, 그 외 자세한 수정 사항에 대해서는 Mozilla Firefox 38.0 Release Note 정보를 참고하시기 바랍니다.

 

보안 취약점과 관련된 수정 사항에서는 Critical 등급(6건), High 등급(6건), Moderate 등급(2건), Low 등급(1건)에 대한 13개의 보안 패치가 포함되어 있습니다.

 

Critical 등급

 

(1) MFSA 2015-46 : Miscellaneous memory safety hazards (rv:38.0 / rv:31.7)

  • CVE-2015-2708 : Memory safety bugs fixed in Firefox ESR 31.7 and Firefox 38
  • CVE-2015-2709 : Memory safety bugs fixed in Firefox 38

(2) MFSA 2015-48 : Buffer overflow with SVG content and CSS

  • CVE-2015-2710 : Heap-buffer-overflow in SVGTextFrame

(3) MFSA 2015-50 : Out-of-bounds read and write in asm.js validation

  • CVE-2015-2712 : Incorrect asm.js bounds check elimination vulnerability

(4) MFSA 2015-51 : Use-after-free during text processing with vertical text enabled

  • CVE-2015-2713 : heap-use-after-free in SetBreaks

(5) MFSA 2015-54 : Buffer overflow when parsing compressed XML

  • CVE-2015-2716 : Buffer overflow xml parser

■ High 등급

 

(1) MFSA 2015-47 : Buffer overflow parsing H.264 video with Linux Gstreamer

  • CVE-2015-0797 : heap-buffer-overflow (read of size 0xffffffff) when playing a m4v video

(2) MFSA 2015-55 : Buffer overflow and out-of-bounds read while parsing MP4 video metadata

  • CVE-2015-2717 : Integer overflow in libstagefright might lead to heap overflow

(3) MFSA 2015-56 : Untrusted site hosting trusted page can intercept webchannel responses

  • CVE-2015-2718 : Untrusted page can see webchannel responses

(4) MFSA 2015-57 : Privilege escalation through IPC channel messages

  • CVE-2011-3079 : IPC Channel does not validate the listener

(5) MFSA 2015-58 : Mozilla Windows updater can be run outside of application directory

  • CVE-2015-0833 : The updater.exe loads the bcrypt.dll and other dll's from the working and binary directory when not using the service
  • CVE-2015-2720 : Run updater.exe from the application directory when not using the service for an update

■ Moderate 등급

 

(1) MFSA 2015-52 : Sensitive URL encoded information written to Android logcat

  • CVE-2015-2714 : Mixed content violation log on Fennec leaks sensitive info in URL

(2) MFSA 2015-53 : Use-after-free due to Media Decoder Thread creation during shutdown

  • CVE-2015-2715 : heap-use-after-free in nsThreadManager::RegisterCurrentThread during shutdown

■ Low 등급

 

(1) MFSA 2015-49 : Referrer policy ignored when links opened by middle-click and context menu

  • CVE-2015-2711 : <meta name="referrer"> is ignored for navigations from the context menu and via a middle-click

그러므로 Mozilla Firefox 웹 브라우저 사용자는 자동 업데이트(Firefox 메뉴 열기 → 도움말 메뉴 열기 → Firefox 정보) 기능을 이용하여 최신 버전으로 업데이트 후 웹 브라우저를 사용하시기 바랍니다.

  • http://ko.wikipedia.org/wiki/루비_문자

    이건 가요?

    루비가

    • 네.. 링크 부분이 맞습니다. 제가 알기로는 한문을 일본어로 주석 처리하는 부분이 있습니다. 그걸 웹 브라우저에서 표시할 수 있게 처리를 해주는 듯합니다.

  • 철이 2015.05.14 10:26 댓글주소 수정/삭제 댓글쓰기

    벌새님 저는 도움말 -> firefox 정보를 클릭해도 37.0.2 가 최신이라고 나오는데 왜 그럴까요?

    삭제후 재설치 해야할까요? ;;

  • 포스팅 잘 읽고 갑니다.

    그런데 firefox가 일반 익스플로러보다 보안이 뛰어난 건가요?

    dll공격을 막으려면 어떻게 해야할까요?

    • 개인적으로는 Chrome 웹 브라우저가 가장 안전한게 아닌가 싶지만 현실은 노리고 들어오면 다들 비슷해 보입니다.

      DLL 보호는 어떤걸 의미하시는지 모르지만 사용자가 보호할 수 있는 수준이라는 것이 감염되지 않는 방법 외에는 없을 듯합니다.

      특히 웹 브라우저 영역인 경우에는 백신과 함께 취약점 차단 솔루션을 사용하시는 것이 가장 안전해 보입니다.