본문 바로가기

벌새::Security

업데이트 : Mozilla Firefox 39.0

반응형

모질라(Mozilla) 재단에서 제공하는 오픈 소스 기반 Mozilla Firefox 웹 브라우저가 새로운 기능 추가, 버그(Bug) 수정 및 22건의 보안 취약점 문제를 해결한 Mozilla Firefox 39.0 정식 버전을 업데이트 하였습니다.

이번 버전에서는 Mac OS X, Linux 운영 체제에서도 안전한 브라우징 기능을 통해 파일 다운로드시 악성코드 진단 기능이 추가되었으며, 보안성이 떨어지는 SSLv3 네트워크 프로토콜을 제거하였습니다.

 

또한 MFSA 2015-70 보안 패치를 통해 Transport Layer Security(TLS) 기반의 HTTPS, SSH, IPsec, SMTPS 등의 보안 프로토콜 통신을 중간자 공격(MITM) 방식으로 공개키 기반의 Diffie-Hellman key Exchage(DHE) 암호화 통신을 다운그레이드 할 수 있는 취약점(CVE-2015-4000)으로 알려진 Logjam Attack에 대한 문제가 해결되었습니다.

 

그 외 자세한 수정 사항에 대해서는 Mozilla Firefox 39.0 Release Note 정보를 참고하시기 바랍니다.

 

보안 취약점과 관련된 수정 사항에서는 Critical 등급(13건), High 등급(2건), Moderate 등급(6건), Low 등급(1건)에 대한 13개의 보안 패치가 포함되어 있습니다.

 

Critical 등급

 

(1) MFSA 2015-59 : Miscellaneous memory safety hazards (rv:39.0 / rv:31.8 / rv:38.1)

  • CVE-2015-2724 : Memory safety bugs fixed in Firefox ESR 31.8, Firefox 38.1, and Firefox 39
  • CVE-2015-2725 : Memory safety bugs fixed in Firefox 38.1 and Firefox 39
  • CVE-2015-2726 : Memory safety bugs fixed in Firefox 39

(2) MFSA 2015-63 : Use-after-free in Content Policy due to microtask execution error

  • CVE-2015-2731 : crash in CSPService::ShouldLoad from userscript

(3) MFSA 2015-65 : Use-after-free in workers while using XMLHttpRequest

  • CVE-2015-2722 : Use After Free in CanonicalizeXPCOMParticipant
  • CVE-2015-2733 : Use After Free in CanonicalizeXPCOMParticipant() with dedicated worker

(4) MFSA 2015-66 : Vulnerabilities found through code inspection

  • CVE-2015-2734 : CairoTextureClientD3D9::BorrowDrawTarget using uninitialized memory
  • CVE-2015-2735 : Memory safety bug due to bad test in nsZipArchive.cpp
  • CVE-2015-2736 : nsZipArchive::BuildFileList has memory-safety bug
  • CVE-2015-2737 : rx::d3d11::SetBufferData using uninitialized memory
  • CVE-2015-2738 : YCbCrImageDataDeserializer::ToDataSourceSurface using uninitialized memory
  • CVE-2015-2739 : Memory safety problem in ArrayBufferBuilder::append
  • CVE-2015-2740 : Overflow in nsXMLHttpRequest::AppendToResponseText causes memory-safety bug

■ High 등급

 

(1) MFSA 2015-61 : Type confusion in Indexed Database Manager

  • CVE-2015-2728 : Type Confusion mozilla::dom::indexedDB::IndexedDatabaseManager

(2) MFSA 2015-69 : Privilege escalation in PDF.js

  • CVE-2015-2743 : Privilege escalation in PDF.js

■ Moderate 등급

 

(1) MFSA 2015-60 : Local files or privileged URLs in pages can be opened into new tabs

  • CVE-2015-2727 : Local files or privileged URLs in pages can be opened into new tabs

(2) MFSA 2015-62 : Out-of-bound read while computing an oscillator rendering range in Web Audio

  • CVE-2015-2729 : Out-of-Bounds Read in AudioParamTimeline::AudioNodeInputValue

(3) MFSA 2015-64 : ECDSA signature validation fails to handle some signatures correctly

  • CVE-2015-2730 : ECC correctness issues

(4) MFSA 2015-67 : Key pinning is ignored when overridable errors are encountered

  • CVE-2015-2741 : key pinning checks for overridable errors do not work as intended by default

(5) MFSA 2015-70 : NSS accepts export-length DHE keys with regular DHE cipher suites

  • CVE-2015-4000 : NSS accepts export-length DHE keys with regular DHE cipher suites

(6) MFSA 2015-71 : NSS incorrectly permits skipping of ServerKeyExchange

  • CVE-2015-2721 : NSS incorrectly permits skipping of ServerKeyExchange

■ Low 등급

 

(1) MFSA 2015-68 : OS X crash reports may contain entered key press information

  • CVE-2015-2742 : Some mac crash reports include private information

그러므로 Mozilla Firefox 웹 브라우저 사용자는 자동 업데이트(Firefox 메뉴 열기 → 도움말 메뉴 열기 → Firefox 정보) 기능을 이용하여 최신 버전으로 업데이트 후 웹 브라우저를 사용하시기 바랍니다.

728x90
반응형