본문 바로가기

벌새::Security

업데이트 : Mozilla Firefox 40.0

반응형

모질라(Mozilla) 재단에서 제공하는 오픈 소스 기반 Mozilla Firefox 웹 브라우저가 새로운 기능 추가, 버그(Bug) 수정 및 20건의 보안 취약점 문제를 해결한 Mozilla Firefox 40.0 정식 버전을 업데이트 하였습니다.

  • Support for Windows 10
  • Added protection against unwanted software downloads
  • User can receive suggested tiles in the new tab page based on categories Firefox matches to browsing history (en-US only).
  • Hello allows adding a link to conversations to provide context on what the conversation will be about
  • New style for add-on manager based on the in-content preferences style
  • Improved scrolling, graphics, and video playback performance with off main thread compositing (GNU/Linux only)
  • Graphic blocklist mechanism improved: Firefox version ranges can be specified, limiting the number of devices blocked

이번 정식 버전에서는 Windows 10 운영 체제에 대한 공식 지원과 함께 Firefox 웹 브라우저를 이용하여 웹 사이트 방문 및 파일 다운로드시 악성코드 또는 원하지않는 소프트웨어에 대한 보호 기능이 강화되었습니다.

 

우선 Firefox 39.0 버전에서는 Google Safe Browsing 서비스를 이용한 악성 파일 다운로드 모니터링 기능을 Macintosh, Linux 운영 체제로 확장하였으며, 추가적으로 Firefox 40.0 버전에서는 사용자가 방문하는 웹 페이지에 PC 설정 변경을 시도하는 소프트웨어(PUP/PUA)가 포함되어 있는 경우 "원하지않는 소프트웨어 의심 사이트 보고! (Reported Unwanted Software Page!)" 메시지를 생성하여 접근을 차단하도록 하였습니다.

 

그 외 자세한 수정 사항에 대해서는 Mozilla Firefox 40.0 Release Note 정보를 참고하시기 바랍니다.

 

보안 취약점과 관련된 수정 사항에서는 Critical 등급(8건), High 등급(9건), Moderate 등급(2건), Low 등급(1건)에 대한 14개의 보안 패치가 포함되어 있습니다.

 

Critical 등급

 

(1) MFSA 2015-79 : Miscellaneous memory safety hazards (rv:40.0 / rv:38.2)

  • CVE-2015-4473 : Memory safety bugs fixed in Firefox ESR 38.2 and Firefox 40.
  • CVE-2015-4474 : Memory safety bugs fixed in Firefox 40.

(2) MFSA 2015-81 : Use-after-free in MediaStream playback

  • CVE-2015-4477 : MediaStream use-after-free

(3) MFSA 2015-83 : Overflow issues in libstagefright

  • CVE-2015-4479 : MPEG4 saio Chunk Integer Overflow (libstagefright)
  • CVE-2015-4480 : crash in [@ stagefright::SampleTable::isValid() ] with h264 mp4
  • CVE-2015-4493 : Stagefright: heap-buffer-overflow crash [@stagefright::ESDS::parseESDescriptor]

(4) MFSA 2015-89 : Buffer overflows on Libvpx when decoding WebM video

  • CVE-2015-4485 : Heap-buffer-overflow WRITE in resize_context_buffers
  • CVE-2015-4486 : Out of bounds read in decrease_ref_count

■ High 등급

 

(1) MFSA 2015-80 : Out-of-bounds read with malformed MP3 file

  • CVE-2015-4475 : out of bounds read at mozilla::AudioSink

(2) MFSA 2015-82 : Redefinition of non-configurable JavaScript object properties

  • CVE-2015-4478 : JSON.parse with reviver allows redefining non-configurable properties

(3) MFSA 2015-84 : Arbitrary file overwriting through Mozilla Maintenance Service with hard links

  • CVE-2015-4481 : Privileged update processes writing to user writable locations can overwrite non-user writable locations using hard links

(4) MFSA 2015-85 : Out-of-bounds write with Updater and malicious MAR file

  • CVE-2015-4482 : Out of bounds write in mar_read.c

(5) MFSA 2015-88 : Heap overflow in gdk-pixbuf when scaling bitmap images

  • CVE-2015-4491 : gdk-pixbuf heap overflow and DoS affecting Firefox

(6) MFSA 2015-90 : Vulnerabilities found through code inspection

  • CVE-2015-4487 : Overflow nsTSubstring::ReplacePrep causes memory-safety bugs in string library
  • CVE-2015-4488 : StyleAnimationValue::operator= uses objects after delete on self-assignment
  • CVE-2015-4489 : Self-assignment in nsTArray_Impl causes memory-safety bug

(7) MFSA 2015-92 : Use-after-free in XMLHttpRequest with shared workers

  • CVE-2015-4492 : Use After Free in XMLHttpRequest::Open()

■ Moderate 등급

 

(1) MFSA 2015-87 : Crash when using shared memory in JavaScript

  • CVE-2015-4484 : crash in void js::jit::AssemblerX86Shared::lock_addl<js::jit::Imm32>

(2) MFSA 2015-91 : Mozilla Content Security Policy allows for asterisk wildcards in violation of CSP specification

  • CVE-2015-4490 : CSP: Asterisk (*) wildcard should not allow blob:, data:, or filesystem: when matching source expressions

■ Low 등급

 

(1) MFSA 2015-86 : Feed protocol with POST bypasses mixed content protections

  • CVE-2015-4483 : feed: protocol + POST method => mixed scripting

그러므로 Mozilla Firefox 웹 브라우저 사용자는 자동 업데이트(Firefox 메뉴 열기 → 도움말 메뉴 열기 → Firefox 정보) 기능을 이용하여 최신 버전으로 업데이트 후 웹 브라우저를 사용하시기 바랍니다.

728x90
반응형