본문 바로가기

벌새::Security

업데이트 : Mozilla Firefox 46.0

반응형

모질라(Mozilla) 재단에서 제공하는 오픈 소스 기반 Mozilla Firefox 웹 브라우저가 새로운 기능 추가, 버그(Bug) 수정 및 14건의 새로운 보안 취약점 문제를 해결한 Mozilla Firefox 46.0 정식 버전을 업데이트 하였습니다.

  • Improved security of the JavaScript Just In Time (JIT) Compiler
  • GTK3 integration (GNU/Linux only)

이번 업데이트에서는 Just In Time (JIT) 컴파일러의 JavaScript 보안 개선과 성능 향상을 위한 WebRTC 변경 등의 작업이 이루어졌으며, 세부적인 수정 사항은 Mozilla Firefox 46.0 Release Note 내용을 참고하시기 바랍니다.

 

보안 취약점 관련 업데이트에서는 Critical 등급(1개), High 등급(4개), Moderate 등급(5개)에 대한 10개의 보안 패치가 포함되어 있습니다.

 

Critical 등급

 

(1) MFSA 2016-39 : Miscellaneous memory safety hazards (rv:46.0 / rv:45.1 / rv:38.8)

  • CVE-2016-2804 : Memory safety bugs fixed in Firefox 46
  • CVE-2016-2805 : Memory safety bug fixed in Firefox ESR 38.8
  • CVE-2016-2806 : Memory safety bugs fixed in Firefox ESR 45.1 and Firefox 46
  • CVE-2016-2807 : Memory safety bugs fixed in Firefox ESR 45.1, Firefox ESR 38.8 and Firefox 46

■ High 등급

 

(1) MFSA 2016-42 : Use-after-free and buffer overflow in Service Workers

  • CVE-2016-2811 : Service Worker - Use After Free in BeginReading()
  • CVE-2016-2812 : Service Worker - Buffer overflow in get()

(2) MFSA 2016-43 : Disclosure of user actions through JavaScript with motion and orientation sensors

  • CVE-2016-2813 : Risks in accessing to the mobile orientation and motion sensors via JavaScript

(3) MFSA 2016-44 : Buffer overflow in libstagefright with CENC offsets

  • CVE-2016-2814 : Crash [@ stagefright::SampleTable::parseSampleCencInfo] with heap buffer overflow in libstagefright

(4) MFSA 2016-47 : Write to invalid HashMap entry through JavaScript.watch()

  • CVE-2016-2808 : null-byte written out of bounds using .watch() due to generation count overflow

■ Moderate 등급

 

(1) MFSA 2016-40 : Privilege escalation through file deletion by Maintenance Service updater

  • CVE-2016-2809 : Maintenance Service updater File Deletion Elevation of Privilege

(2) MFSA 2016-41 : Content provider permission bypass allows malicious application to access data

  • CVE-2016-2810 : Content providers protected with signature-level permissions can be accessed by an application

(3) MFSA 2016-45 : CSP not applied to pages sent with multipart/x-mixed-replace

  • CVE-2016-2816 : CSP is not applied to documents sent through multipart/x-mixed-replace

(4) MFSA 2016-46 : Elevation of privilege with chrome.tabs.update API in web extensions

  • CVE-2016-2817 : chrome.tabs.update/create APIs should call checkLoadURI with DISALLOW_INHERIT_PRINCIPAL

(5) MFSA 2016-48 : Firefox Health Reports could accept events from untrusted domains

  • CVE-2016-2820 : FHR accepts events from untrusted domains

그러므로 Mozilla Firefox 웹 브라우저 사용자는 자동 업데이트(Firefox 메뉴 열기 → 도움말 메뉴 열기 → Firefox 정보) 기능을 이용하여 최신 버전으로 업데이트한 후 웹 브라우저를 이용하시기 바랍니다.

728x90
반응형
  • Playing 2016.04.30 20:14 댓글주소 수정/삭제 댓글쓰기

    글 잘 봤습니다
    크롬과 오페라도 그렇지만 파이어폭스가 꽤 큰 변화를 맞이하는 거 같네요(크롬과 오페라는 XP 지원이 끝났고요. 파이어폭스도 어쩔지 모르겠습니다)

    매번 넙죽 보다가 깜짝 놀랐습니다. 블로그가 새단장을 이쁘게 했네요
    상단도 적절하게 투명해서 좋고요
    아무튼 주변 가족 친지분들과 행복하고 건강하게 지내시길!

    • 웹 브라우저는 인터넷 시대의 유물이면서 미래 자산이죠.^^

      거의 초창기부터 사용하던 스킨을 오늘 반응형으로 겨우 변경했습니다.

      Playing님도 건강하시고 주말 잘 보내세요.^^