모질라(Mozilla) 재단에서 제공하는 오픈 소스 기반 Mozilla Firefox 웹 브라우저가 새로운 기능 추가, 버그(Bug) 수정 및 17건의 새로운 보안 취약점 문제를 해결한 Mozilla Firefox 44.0 정식 버전이 업데이트 되었습니다.

  • Improved warning pages for certificate errors and untrusted connections
  • Enable H.264 if system decoder is available
  • Enable WebM/VP9 video support on systems that don't support MP4/H.264
  • In the animation-inspector timeline, lightning bolt icon next to animations running on the compositor thread
  • Support the brotli compression format via HTTPS content-encoding
  • Screenshot commands allow user choice of pixel ratio in Developer Tools

이번 업데이트에서는 2016년 1월부터 적용된 Internet Explorer 웹 브라우저에서 SHA-1 인증서 차단 이슈와 관련하여 파일 서명을 SHA-256을 사용하도록 변경되었습니다.

 

또한 보안에 취약한 RC4 암호 해제 지원을 제거하였으며, Equifax Secure Certificate Authority 1024-bit 루트 인증서 및 보안 사이트 인증서 확인을 위한 UTN - DATACorp SGC 인증서를 더 이상 신뢰하지 않도록 정책이 변경되었습니다.

특히 Mozilla Firefox 44.0 버전에서는 HTTPS 웹 사이트 접속시 인증서 오류 또는 신뢰할 수 없는 연결이 확인될 경우 표시하는 "연결이 안전하지 않습니다." 경고 페이지 내용을 업데이트 하였습니다.

 

그 외 자세한 수정 사항에 대해서는 Mozilla Firefox 44.0 Release Note 정보를 참고하시기 바랍니다.

 

보안 취약점 관련 업데이트에서는 Critical 등급(3개), High 등급(2개), Moderate 등급(6개), Low 등급(1개)에 대한 12개의 보안 패치가 포함되어 있습니다.

 

Critical 등급

 

(1) MFSA 2016-01 : Miscellaneous memory safety hazards (rv:44.0 / rv:38.6)

  • CVE-2016-1930 : Memory safety bugs fixed in Firefox ESR 38.6 and Firefox 44
  • CVE-2016-1931 : Memory safety bugs fixed in Firefox 44

(2) MFSA 2016-03 : Buffer overflow in WebGL after out of memory allocation

  • CVE-2016-1935 : global-buffer-overflow (write) at BufferSubData

(3) MFSA 2016-10 : Unsafe memory manipulation found through code inspection

  • CVE-2016-1944 : Memory-safety bug in Buffer11::NativeBuffer11::map
  • CVE-2016-1945 : Latent wild-pointer/bounds bug in nsZipArchive
  • CVE-2016-1946 : Truncation in MoofParser::Metadata causes writing beyond buffer's end

■ High 등급

 

(1) MFSA 2016-07 : Errors in mp_div and mp_exptmod cryptographic functions in NSS

  • CVE-2016-1938 : mp_div and mp_exptmod sometimes produce wrong calculation results

(2) MFSA 2016-09 : Addressbar spoofing attacks

  • CVE-2016-1942 : location bar continues displaying wyciwyg URI and resource URI if user tries to navigate to it manually
  • CVE-2016-1943 : Location Bar Spoofing Risk - scrollto leads to that the location bar is hidden

■ Moderate 등급

 

(1) MFSA 2016-02 : Out of Memory crash when parsing GIF format images

  • CVE-2016-1933 : DoS loading a specially crafted image in Firefox

(2) MFSA 2016-04 : Firefox allows for control characters to be set in cookie names

  • CVE-2015-7208 : allowing vertical tab in cookies leads to cookie injection on some servers
  • CVE-2016-1939 : firefox allows characters in cookie names that it shouldn't

(3) MFSA 2016-05 : Addressbar spoofing through stored data url shortcuts on Firefox for Android

  • CVE-2016-1940 : Address bar spoofing with a BOOKMARK shortcut of data: URL

(4) MFSA 2016-06 : Missing delay following user click events in protocol handler dialog

  • CVE-2016-1937 : protocol handler dialog does not resist ui timing attacks

(5) MFSA 2016-08 : Delay following click events in file download dialog too short on OS X

  • CVE-2016-1941 : Download "open file" dialog delay is too quick when it is under a popup which closes, doesn't prevent clickjacking

(6) MFSA 2016-11 : Application Reputation service disabled in Firefox 43

  • CVE-2016-1947 : Application Reputation remote lookups don't work

■ Low 등급

 

(1) MFSA 2016-12 : Lightweight themes on Firefox for Android do not verify a secure connection

  • CVE-2016-1948 : LWT permissions exposed to man-in-the-middle attacks

그러므로 Mozilla Firefox 웹 브라우저 사용자는 자동 업데이트(Firefox 메뉴 열기 → 도움말 메뉴 열기 → Firefox 정보) 기능을 이용하여 최신 버전으로 업데이트한 후 웹 브라우저를 이용하시기 바랍니다.

블로그 이미지

울지않는 벌새

울지않는벌새가 되고 싶은 나..