모질라(Mozilla) 재단에서 제공하는 오픈 소스 기반 Mozilla Firefox 웹 브라우저가 새로운 기능 추가, 버그(Bug) 수정 및 17건의 새로운 보안 취약점 문제를 해결한 Mozilla Firefox 44.0 정식 버전이 업데이트 되었습니다.
- Improved warning pages for certificate errors and untrusted connections
- Enable H.264 if system decoder is available
- Enable WebM/VP9 video support on systems that don't support MP4/H.264
- In the animation-inspector timeline, lightning bolt icon next to animations running on the compositor thread
- Support the brotli compression format via HTTPS content-encoding
- Screenshot commands allow user choice of pixel ratio in Developer Tools
이번 업데이트에서는 2016년 1월부터 적용된 Internet Explorer 웹 브라우저에서 SHA-1 인증서 차단 이슈와 관련하여 파일 서명을 SHA-256을 사용하도록 변경되었습니다.
또한 보안에 취약한 RC4 암호 해제 지원을 제거하였으며, Equifax Secure Certificate Authority 1024-bit 루트 인증서 및 보안 사이트 인증서 확인을 위한 UTN - DATACorp SGC 인증서를 더 이상 신뢰하지 않도록 정책이 변경되었습니다.
특히 Mozilla Firefox 44.0 버전에서는 HTTPS 웹 사이트 접속시 인증서 오류 또는 신뢰할 수 없는 연결이 확인될 경우 표시하는 "연결이 안전하지 않습니다." 경고 페이지 내용을 업데이트 하였습니다.
그 외 자세한 수정 사항에 대해서는 Mozilla Firefox 44.0 Release Note 정보를 참고하시기 바랍니다.
보안 취약점 관련 업데이트에서는 Critical 등급(3개), High 등급(2개), Moderate 등급(6개), Low 등급(1개)에 대한 12개의 보안 패치가 포함되어 있습니다.
■ Critical 등급
(1) MFSA 2016-01 : Miscellaneous memory safety hazards (rv:44.0 / rv:38.6)
- CVE-2016-1930 : Memory safety bugs fixed in Firefox ESR 38.6 and Firefox 44
- CVE-2016-1931 : Memory safety bugs fixed in Firefox 44
(2) MFSA 2016-03 : Buffer overflow in WebGL after out of memory allocation
- CVE-2016-1935 : global-buffer-overflow (write) at BufferSubData
(3) MFSA 2016-10 : Unsafe memory manipulation found through code inspection
- CVE-2016-1944 : Memory-safety bug in Buffer11::NativeBuffer11::map
- CVE-2016-1945 : Latent wild-pointer/bounds bug in nsZipArchive
- CVE-2016-1946 : Truncation in MoofParser::Metadata causes writing beyond buffer's end
■ High 등급
(1) MFSA 2016-07 : Errors in mp_div and mp_exptmod cryptographic functions in NSS
- CVE-2016-1938 : mp_div and mp_exptmod sometimes produce wrong calculation results
(2) MFSA 2016-09 : Addressbar spoofing attacks
- CVE-2016-1942 : location bar continues displaying wyciwyg URI and resource URI if user tries to navigate to it manually
- CVE-2016-1943 : Location Bar Spoofing Risk - scrollto leads to that the location bar is hidden
■ Moderate 등급
(1) MFSA 2016-02 : Out of Memory crash when parsing GIF format images
- CVE-2016-1933 : DoS loading a specially crafted image in Firefox
(2) MFSA 2016-04 : Firefox allows for control characters to be set in cookie names
- CVE-2015-7208 : allowing vertical tab in cookies leads to cookie injection on some servers
- CVE-2016-1939 : firefox allows characters in cookie names that it shouldn't
(3) MFSA 2016-05 : Addressbar spoofing through stored data url shortcuts on Firefox for Android
- CVE-2016-1940 : Address bar spoofing with a BOOKMARK shortcut of data: URL
(4) MFSA 2016-06 : Missing delay following user click events in protocol handler dialog
- CVE-2016-1937 : protocol handler dialog does not resist ui timing attacks
(5) MFSA 2016-08 : Delay following click events in file download dialog too short on OS X
- CVE-2016-1941 : Download "open file" dialog delay is too quick when it is under a popup which closes, doesn't prevent clickjacking
(6) MFSA 2016-11 : Application Reputation service disabled in Firefox 43
- CVE-2016-1947 : Application Reputation remote lookups don't work
■ Low 등급
(1) MFSA 2016-12 : Lightweight themes on Firefox for Android do not verify a secure connection
- CVE-2016-1948 : LWT permissions exposed to man-in-the-middle attacks
그러므로 Mozilla Firefox 웹 브라우저 사용자는 자동 업데이트(Firefox 메뉴 열기 → 도움말 메뉴 열기 → Firefox 정보) 기능을 이용하여 최신 버전으로 업데이트한 후 웹 브라우저를 이용하시기 바랍니다.