울지않는벌새 : Security, Movie & Society

업데이트 : Mozilla Firefox 47.0

벌새::Security

모질라(Mozilla) 재단에서 제공하는 오픈 소스 기반 Mozilla Firefox 웹 브라우저가 새로운 기능 추가, 버그(Bug) 수정 및 14건의 보안 취약점 문제를 해결한 Mozilla Firefox 47.0 정식 버전을 업데이트 하였습니다.

 

 

  • Support for Google’s Widevine CDM on Windows and Mac OS X so streaming services like Amazon Video can switch from Silverlight to encrypted HTML5 video.
  • Enable VP9 video codec for users with fast machines
  • Embedded YouTube videos now play with HTML5 video if Flash is not installed.
  • View and search open tabs from your smartphone or another computer in a sidebar
  • Allow no-cache on back/forward navigations for https resources
  • Latgalu [ltg] locale added. Wikipedia tells us there are 164,500 daily speakers.

이번 업데이트에서는 아마존(Amazon) 비디오와 같은 스트리밍 서비스에서 Silverlight 대신 암호화된 HTML5 비디오를 지원하는 구글(Google)의 Widevine CDM을 지원하도록 기능이 추가되었습니다.

 

 

또한 Mozilla Firefox 26.0 버전부터 제공되던 Click to Play 방식의 플러그인 설정 방식에서 화이트리스트(Whitelist)로 등록되어 Click-to-Activate 사용이 가능하였던 플러그인에 대해 Adobe Flash Player를 제외하고 모두 제거하였습니다.

 

그 외 세부적인 수정 사항에 대해서는 Mozilla Firefox 47.0 Release Note 내용을 참고하시기 바랍니다.

 

보안 취약점 관련 업데이트에서는 Critical 등급(2개), High 등급(5개), Moderate 등급(4개), Low 등급(2개)에 대한 총 13개의 보안 패치가 포함되어 있습니다.

 

Critical 등급

 

(1) MFSA 2016-49 : Miscellaneous memory safety hazards (rv:47.0 / rv:45.2)

 

  • CVE-2016-2815 : Memory safety bugs fixed in Firefox 47
  • CVE-2016-2818 : Memory safety bugs fixed in Firefox ESR 45.2 and Firefox 47

(2) MFSA 2016-50 : Buffer overflow parsing HTML5 fragments

 

  • CVE-2016-2819 : HTML5 parser heap-buffer-overflow

 

■ High 등급

 

(1) MFSA 2016-51 : Use-after-free deleting tables from a contenteditable document

 

  • CVE-2016-2821 : Heap-use-after-free mozilla::dom::Element

(2) MFSA 2016-53 : Out-of-bounds write with WebGL shader

 

  • CVE-2016-2824 : Crash in TSymbolTableLevel::~TSymbolTableLevel

(3) MFSA 2016-55 : File overwrite and privilege escalation through Mozilla Windows updater

 

  • CVE-2016-2826 : Mozilla maintenance service arbitrary file overwrite allowing privilege escalation

(4) MFSA 2016-56 : Use-after-free when textures are used in WebGL operations after recycle pool destruction

 

  • CVE-2016-2828 : Crash when zooming out on a three.js demo

(5) MFSA 2016-58 : Entering fullscreen and persistent pointerlock without user permission

 

  • CVE-2016-2831 : mozRequestFullScreen + mozRequestPointerLock: bypassing pointer lock permission

 

■ Moderate 등급

 

(1) MFSA 2016-52 : Addressbar spoofing though the SELECT element

 

  • CVE-2016-2822 : Firefox Navigation from a page with an active dropdown menu can be used for spoofing

(2) MFSA 2016-59 : Information disclosure of disabled plugins through CSS pseudo-classes

 

  • CVE-2016-2832 : -moz-handler css pseudo-classes leak plugin state to content

(3) MFSA 2016-60 : Java applets bypass CSP protections

 

  • CVE-2016-2833 : CSP does not block cross-domain applets with object-src 'self'

(4) MFSA 2016-61 : Network Security Services (NSS) vulnerabilities

 

  • CVE-2016-2834 : Memory safety bugs fixed in NSS 3.23

 

■ Low 등급

 

(1) MFSA 2016-54 : Partial same-origin-policy through setting location.host through data URI

 

  • CVE-2016-2825 : Partial SOP violation via forged location.host

(2) MFSA 2016-57 : Incorrect icon displayed on permissions notifications

 

  • CVE-2016-2829 : Requesting permissions in short succession can lead to the microphone icon displayed for an unrelated notification

그러므로 Mozilla Firefox 웹 브라우저 사용자는 자동 업데이트(Firefox 메뉴 열기 → 도움말 메뉴 열기 → Firefox 정보) 기능을 이용하여 최신 버전으로 업데이트하시고 이용하시기 바랍니다.