모질라(Mozilla) 재단에서 제공하는 오픈 소스 기반 Mozilla Firefox 웹 브라우저가 새로운 기능 추가, 버그(Bug) 수정 및 23건의 보안 취약점 문제를 해결한 Mozilla Firefox 42.0 정식 버전을 업데이트 하였습니다.

  • Private Browsing with Tracking Protection blocks certain Web elements that could be used to record your behavior across sites
  • Control Center that contains site security and privacy controls
  • Indicator added to tabs that play audio with one-click muting
  • WebRTC improvements:
  1. IPV6 support
  2. Preferences for controlling ICE candidate generation and IP exposure
  3. Hooks for extensions to allow/deny createOffer/Answer
  4. Improved ability for applications to monitor and control which devices are used in getUserMedia
  • Login Manager improvements:
  1. Improved heuristics to save usernames and passwords
  2. Edit and show all logins in line, Copy/Paste usernames/passwords from the Context menu
  3. Migration imports your passwords to Firefox from Google Chrome for Windows and Internet Explorer; import anytime from the Login Manager

이번 Mozilla Firefox 42.0 버전에서는 사생활 보호 모드(Private Browsing with Tracking Protection) 기능을 통해 방문 페이지, 폼 양식, 검색 정보, 암호, 다운로드 기록, 쿠키, 임시 파일은 저장하지 않도록 프라이버시(Privacy) 기능을 강화하였습니다.

사생활 보호 모드를 이용하여 웹 사이트를 방문할 경우 브라우징 활동을 추적할 수 있는 부분을 자동으로 차단하여 일부 페이지의 콘텐츠 영역이 표시되지 않을 수 있으며, 대표적으로 구글 애드센스(Google AdSense) 광고 배너를 차단할 수 있습니다.

 

하지만 사생활 보호 모드는 이 인터넷 상에서 자신을 익명으로 처리하지는 않지만, 공용 컴퓨터 사용시에 방문한 페이지 및 사이트 정보를 저장하지 않고 접속할 수 있으므로 잘 활용하시기 바랍니다.

또한 도메인 인증서가 포함된 웹 사이트 방문시 Mozilla Firefox 웹 브라우저의 주소 표시줄에 표시되는 인증서 정보 처리 아이콘의 표시 정책을 새롭게 변경하였습니다.

 

그 외 자세한 수정 사항에 대해서는 Mozilla Firefox 42.0 Release Note 정보를 참고하시기 바랍니다.

 

보안 취약점과 관련된 업데이트에서는 Critical 등급(3개), High 등급(6개), Moderate 등급(7개), Low 등급(2개)에 대한 18개의 보안 패치가 포함되어 있습니다.

 

Critical 등급

 

(1) MFSA 2015-116 : Miscellaneous memory safety hazards (rv:42.0 / rv:38.4)

  • CVE-2015-4513 : Memory safety bugs fixed in Firefox ESR 38.4 and Firefox 42
  • CVE-2015-4514 : Memory safety bugs fixed in Firefox 42

(2) MFSA 2015-131 : Vulnerabilities found through code inspection

  • CVE-2015-7198 : Overflow in TextureStorage11 can cause memory-safety bug
  • CVE-2015-7199 : Missing status checks in AddWeightedPathSegLists and SVGPathSegListSMILType::Interpolate cause memory-safety bugs
  • CVE-2015-7200 : Missing status check in CryptoKey creates potential security bug

(3) MFSA 2015-133 : NSS and NSPR memory corruption issues

  • CVE-2015-7181 : ASan: use-after-poison in sec_asn1d_parse_leaf()
  • CVE-2015-7182 : ASN.1 decoder heap overflow when decoding constructed OCTET STRING
  • CVE-2015-7183 : NSPR overflow in PL_ARENA_ALLOCATE can lead to crash (under ASAN), potential memory corruption

■ High 등급

 

(1) MFSA 2015-122 : Trailing whitespace in IP address hostnames can bypass same-origin policy

  • CVE-2015-7188 : White-spaces in host IP address, leading to same origin policy bypass

(2) MFSA 2015-123 : Buffer overflow during image interactions in canvas

  • CVE-2015-7189 : Heap Buffer Overflow in nsJPEGEncoder

(3) MFSA 2015-125 : XSS attack through intents on Firefox for Android

  • CVE-2015-7191 : Universal XSS in intent: URL on Fennec

(4) MFSA 2015-127 : CORS preflight is bypassed when non-standard Content-Type headers are received

  • CVE-2015-7193 : CORS does a simple instead of preflighted request for POST with non-standard Content-Type header

(5) MFSA 2015-128 : Memory corruption in libjar through zip files

  • CVE-2015-7194 : Arbitrary memory access in libjar (libxul)

(6) MFSA 2015-130 : JavaScript garbage collection crash with Java applet

  • CVE-2015-7196 : crashes in GC with Java applet

■ Moderate 등급

 

(1) MFSA 2015-118 : CSP bypass due to permissive Reader mode whitelist

  • CVE-2015-4518 : Passive script execution on about:reader via SVG animations (affects: Firefox, NoScript, CSP; impact: spoofing, phishing)
  • Reader Mode does not completely disable all active content (XSS)

(2) MFSA 2015-119 : Firefox for Android addressbar can be removed after fullscreen mode

  • CVE-2015-7185 : Killing the Location bar using fullscreen mode and alert function on another tab

(3) MFSA 2015-120 : Reading sensitive profile files through local HTML file on Android

  • CVE-2015-7186 : file: URIs SOP Bypass: Local private data into the local firefox folder

(4) MFSA 2015-121 : Disabling scripts in Add-on SDK panels has no effect

  • CVE-2015-7187 : To disable JS, set { script: false } when creating the panel, but inline JS is still executing

(5) MFSA 2015-124 : Android intents can be used on Firefox for Android to open privileged files

  • CVE-2015-7190 : Firefox Search on Android allows to open an arbitrary activity with Fennec's privilege

(6) MFSA 2015-126 : Crash when accessing HTML tables with accessibility tools on OS X

  • CVE-2015-7192 : Fix accessibilityAttributeValue for NSAccessibilityIndexAttribute

(7) MFSA 2015-132 : Mixed content WebSocket policy bypass through workers

  • CVE-2015-7197 : WebSocket secure requirements can be bypassed in a worker

■ Low 등급

 

(1) MFSA 2015-117 : Information disclosure through NTLM authentication

  • CVE-2015-4515 : Information disclosure vulnerability in Firefox via NTLM based HTTP authentication feature

(2) MFSA 2015-129 : Certain escaped characters in host of Location-header are being treated as non-escaped

  • CVE-2015-7195 : Certain escaped characters in host of Location-header are being treated as non-escaped

그러므로 Mozilla Firefox 웹 브라우저 사용자는 자동 업데이트(Firefox 메뉴 열기 → 도움말 메뉴 열기 → Firefox 정보) 기능을 이용하여 최신 버전으로 업데이트한 후 웹 브라우저를 이용하시기 바랍니다.

블로그 이미지

울지않는 벌새

울지않는벌새가 되고 싶은 나..