모질라(Mozilla) 재단에서 제공하는 오픈 소스 기반 Mozilla Firefox 웹 브라우저가 새로운 기능 추가, 버그(Bug) 수정 및 23건의 보안 취약점 문제를 해결한 Mozilla Firefox 42.0 정식 버전을 업데이트 하였습니다.
- Private Browsing with Tracking Protection blocks certain Web elements that could be used to record your behavior across sites
- Control Center that contains site security and privacy controls
- Indicator added to tabs that play audio with one-click muting
- WebRTC improvements:
- IPV6 support
- Preferences for controlling ICE candidate generation and IP exposure
- Hooks for extensions to allow/deny createOffer/Answer
- Improved ability for applications to monitor and control which devices are used in getUserMedia
- Login Manager improvements:
- Improved heuristics to save usernames and passwords
- Edit and show all logins in line, Copy/Paste usernames/passwords from the Context menu
- Migration imports your passwords to Firefox from Google Chrome for Windows and Internet Explorer; import anytime from the Login Manager
이번 Mozilla Firefox 42.0 버전에서는 사생활 보호 모드(Private Browsing with Tracking Protection) 기능을 통해 방문 페이지, 폼 양식, 검색 정보, 암호, 다운로드 기록, 쿠키, 임시 파일은 저장하지 않도록 프라이버시(Privacy) 기능을 강화하였습니다.
사생활 보호 모드를 이용하여 웹 사이트를 방문할 경우 브라우징 활동을 추적할 수 있는 부분을 자동으로 차단하여 일부 페이지의 콘텐츠 영역이 표시되지 않을 수 있으며, 대표적으로 구글 애드센스(Google AdSense) 광고 배너를 차단할 수 있습니다.
하지만 사생활 보호 모드는 이 인터넷 상에서 자신을 익명으로 처리하지는 않지만, 공용 컴퓨터 사용시에 방문한 페이지 및 사이트 정보를 저장하지 않고 접속할 수 있으므로 잘 활용하시기 바랍니다.
또한 도메인 인증서가 포함된 웹 사이트 방문시 Mozilla Firefox 웹 브라우저의 주소 표시줄에 표시되는 인증서 정보 처리 아이콘의 표시 정책을 새롭게 변경하였습니다.
그 외 자세한 수정 사항에 대해서는 Mozilla Firefox 42.0 Release Note 정보를 참고하시기 바랍니다.
보안 취약점과 관련된 업데이트에서는 Critical 등급(3개), High 등급(6개), Moderate 등급(7개), Low 등급(2개)에 대한 18개의 보안 패치가 포함되어 있습니다.
■ Critical 등급
(1) MFSA 2015-116 : Miscellaneous memory safety hazards (rv:42.0 / rv:38.4)
- CVE-2015-4513 : Memory safety bugs fixed in Firefox ESR 38.4 and Firefox 42
- CVE-2015-4514 : Memory safety bugs fixed in Firefox 42
(2) MFSA 2015-131 : Vulnerabilities found through code inspection
- CVE-2015-7198 : Overflow in TextureStorage11 can cause memory-safety bug
- CVE-2015-7199 : Missing status checks in AddWeightedPathSegLists and SVGPathSegListSMILType::Interpolate cause memory-safety bugs
- CVE-2015-7200 : Missing status check in CryptoKey creates potential security bug
(3) MFSA 2015-133 : NSS and NSPR memory corruption issues
- CVE-2015-7181 : ASan: use-after-poison in sec_asn1d_parse_leaf()
- CVE-2015-7182 : ASN.1 decoder heap overflow when decoding constructed OCTET STRING
- CVE-2015-7183 : NSPR overflow in PL_ARENA_ALLOCATE can lead to crash (under ASAN), potential memory corruption
■ High 등급
(1) MFSA 2015-122 : Trailing whitespace in IP address hostnames can bypass same-origin policy
- CVE-2015-7188 : White-spaces in host IP address, leading to same origin policy bypass
(2) MFSA 2015-123 : Buffer overflow during image interactions in canvas
- CVE-2015-7189 : Heap Buffer Overflow in nsJPEGEncoder
(3) MFSA 2015-125 : XSS attack through intents on Firefox for Android
- CVE-2015-7191 : Universal XSS in intent: URL on Fennec
(4) MFSA 2015-127 : CORS preflight is bypassed when non-standard Content-Type headers are received
- CVE-2015-7193 : CORS does a simple instead of preflighted request for POST with non-standard Content-Type header
(5) MFSA 2015-128 : Memory corruption in libjar through zip files
- CVE-2015-7194 : Arbitrary memory access in libjar (libxul)
(6) MFSA 2015-130 : JavaScript garbage collection crash with Java applet
- CVE-2015-7196 : crashes in GC with Java applet
■ Moderate 등급
(1) MFSA 2015-118 : CSP bypass due to permissive Reader mode whitelist
- CVE-2015-4518 : Passive script execution on about:reader via SVG animations (affects: Firefox, NoScript, CSP; impact: spoofing, phishing)
- Reader Mode does not completely disable all active content (XSS)
(2) MFSA 2015-119 : Firefox for Android addressbar can be removed after fullscreen mode
- CVE-2015-7185 : Killing the Location bar using fullscreen mode and alert function on another tab
(3) MFSA 2015-120 : Reading sensitive profile files through local HTML file on Android
- CVE-2015-7186 : file: URIs SOP Bypass: Local private data into the local firefox folder
(4) MFSA 2015-121 : Disabling scripts in Add-on SDK panels has no effect
- CVE-2015-7187 : To disable JS, set { script: false } when creating the panel, but inline JS is still executing
(5) MFSA 2015-124 : Android intents can be used on Firefox for Android to open privileged files
- CVE-2015-7190 : Firefox Search on Android allows to open an arbitrary activity with Fennec's privilege
(6) MFSA 2015-126 : Crash when accessing HTML tables with accessibility tools on OS X
- CVE-2015-7192 : Fix accessibilityAttributeValue for NSAccessibilityIndexAttribute
(7) MFSA 2015-132 : Mixed content WebSocket policy bypass through workers
- CVE-2015-7197 : WebSocket secure requirements can be bypassed in a worker
■ Low 등급
(1) MFSA 2015-117 : Information disclosure through NTLM authentication
- CVE-2015-4515 : Information disclosure vulnerability in Firefox via NTLM based HTTP authentication feature
(2) MFSA 2015-129 : Certain escaped characters in host of Location-header are being treated as non-escaped
- CVE-2015-7195 : Certain escaped characters in host of Location-header are being treated as non-escaped
그러므로 Mozilla Firefox 웹 브라우저 사용자는 자동 업데이트(Firefox 메뉴 열기 → 도움말 메뉴 열기 → Firefox 정보) 기능을 이용하여 최신 버전으로 업데이트한 후 웹 브라우저를 이용하시기 바랍니다.