울지않는벌새 : Security, Movie & Society

업데이트 : Mozilla Firefox 46.0

벌새::Security

모질라(Mozilla) 재단에서 제공하는 오픈 소스 기반 Mozilla Firefox 웹 브라우저가 새로운 기능 추가, 버그(Bug) 수정 및 14건의 새로운 보안 취약점 문제를 해결한 Mozilla Firefox 46.0 정식 버전을 업데이트 하였습니다.

  • Improved security of the JavaScript Just In Time (JIT) Compiler
  • GTK3 integration (GNU/Linux only)

이번 업데이트에서는 Just In Time (JIT) 컴파일러의 JavaScript 보안 개선과 성능 향상을 위한 WebRTC 변경 등의 작업이 이루어졌으며, 세부적인 수정 사항은 Mozilla Firefox 46.0 Release Note 내용을 참고하시기 바랍니다.

 

보안 취약점 관련 업데이트에서는 Critical 등급(1개), High 등급(4개), Moderate 등급(5개)에 대한 10개의 보안 패치가 포함되어 있습니다.

 

Critical 등급

 

(1) MFSA 2016-39 : Miscellaneous memory safety hazards (rv:46.0 / rv:45.1 / rv:38.8)

  • CVE-2016-2804 : Memory safety bugs fixed in Firefox 46
  • CVE-2016-2805 : Memory safety bug fixed in Firefox ESR 38.8
  • CVE-2016-2806 : Memory safety bugs fixed in Firefox ESR 45.1 and Firefox 46
  • CVE-2016-2807 : Memory safety bugs fixed in Firefox ESR 45.1, Firefox ESR 38.8 and Firefox 46

■ High 등급

 

(1) MFSA 2016-42 : Use-after-free and buffer overflow in Service Workers

  • CVE-2016-2811 : Service Worker - Use After Free in BeginReading()
  • CVE-2016-2812 : Service Worker - Buffer overflow in get()

(2) MFSA 2016-43 : Disclosure of user actions through JavaScript with motion and orientation sensors

  • CVE-2016-2813 : Risks in accessing to the mobile orientation and motion sensors via JavaScript

(3) MFSA 2016-44 : Buffer overflow in libstagefright with CENC offsets

  • CVE-2016-2814 : Crash [@ stagefright::SampleTable::parseSampleCencInfo] with heap buffer overflow in libstagefright

(4) MFSA 2016-47 : Write to invalid HashMap entry through JavaScript.watch()

  • CVE-2016-2808 : null-byte written out of bounds using .watch() due to generation count overflow

■ Moderate 등급

 

(1) MFSA 2016-40 : Privilege escalation through file deletion by Maintenance Service updater

  • CVE-2016-2809 : Maintenance Service updater File Deletion Elevation of Privilege

(2) MFSA 2016-41 : Content provider permission bypass allows malicious application to access data

  • CVE-2016-2810 : Content providers protected with signature-level permissions can be accessed by an application

(3) MFSA 2016-45 : CSP not applied to pages sent with multipart/x-mixed-replace

  • CVE-2016-2816 : CSP is not applied to documents sent through multipart/x-mixed-replace

(4) MFSA 2016-46 : Elevation of privilege with chrome.tabs.update API in web extensions

  • CVE-2016-2817 : chrome.tabs.update/create APIs should call checkLoadURI with DISALLOW_INHERIT_PRINCIPAL

(5) MFSA 2016-48 : Firefox Health Reports could accept events from untrusted domains

  • CVE-2016-2820 : FHR accepts events from untrusted domains

그러므로 Mozilla Firefox 웹 브라우저 사용자는 자동 업데이트(Firefox 메뉴 열기 → 도움말 메뉴 열기 → Firefox 정보) 기능을 이용하여 최신 버전으로 업데이트한 후 웹 브라우저를 이용하시기 바랍니다.