모질라(Mozilla) 재단에서 제공하는 오픈 소스 기반 Mozilla Firefox 웹 브라우저가 새로운 기능 추가, 버그(Bug) 수정 및 28건의 보안 취약점 문제를 해결한 Mozilla Firefox 52.0 정식 버전을 업데이트 하였습니다.

 

 

  • Added support for WebAssembly, an emerging standard that brings near-native performance to Web-based games, apps, and software libraries without the use of plugins.
  • Added automatic captive portal detection, for easier access to Wi-Fi hotspots. When accessing the Internet via a captive portal, Firefox will alert users and open the portal login page in a new tab.
  • Implemented the Strict Secure Cookies specification which forbids insecure HTTP sites from setting cookies with the "secure" attribute. In some cases, this will prevent an insecure site from setting a cookie with the same name as an existing "secure" cookie from the same base domain.
  • Added user warnings for non-secure HTTP pages with logins. Firefox now displays a “This connection is not secure” message when users click into the username and password fields on pages that don’t use HTTPS.
  • Enhanced Sync to allow users to send and open tabs from one device to another.

 

이전 Mozilla Firefox 51.0 버전부터 보안 연결(HTTPS)을 지원하지 않는 웹 페이지의 경우 주소 표시줄에 안전하지 않은 연결로 표시하는 정책을 도입하였습니다.

 

 

이번 Mozilla Firefox 52.0 버전에서는 보안 연결(HTTPS)을 지원하지 않는 로그인 폼에 마우스를 위치할 경우 "이 연결은 안전하지 않습니다. 입력된 로그인 정보가 유출될 수 있습니다." 메시지를 추가적으로 노출하도록 기능이 추가되었습니다.

 

그 외 세부적인 수정 사항은 Mozilla Firefox 52.0 Release Note 정보를 참고하시기 바랍니다.

 

보안 취약점 관련 업데이트에서는 Critical 등급(7건), High 등급(4건), Moderate 등급(11건), Low 등급(6건)에 대한 보안 패치가 포함되어 있습니다.

 

Critical 등급

 

(1) CVE-2017-5398 : Memory safety bugs fixed in Firefox 52 and Firefox ESR 45.8

 

Mozilla developers and community members Boris Zbarsky, Christian Holler, Honza Bambas, Jon Coppeard, Randell Jesup, André Bargull, Kan-Ru Chen, and Nathan Froyd reported memory safety bugs present in Firefox 51 and Firefox ESR 45.7. Some of these bugs showed evidence of memory corruption and we presume that with enough effort that some of these could be exploited to run arbitrary code.

 

(2) CVE-2017-5399 : Memory safety bugs fixed in Firefox 52

 

Mozilla developers and community members Carsten Book, Calixte Denizet, Christian Holler, Andrew McCreight, David Bolter, David Keeler, Jon Coppeard, Tyson Smith, Ronald Crane, Tooru Fujisawa, Ben Kelly, Bob Owen, Jed Davis, Julian Seward, Julian Hector, Philipp, Markus Stange, and André Bargull reported memory safety bugs present in Firefox 51. Some of these bugs showed evidence of memory corruption and we presume that with enough effort that some of these could be exploited to run arbitrary code.

 

(3) CVE-2017-5400 : asm.js JIT-spray bypass of ASLR and DEP

 

JIT-spray targeting asm.js combined with a heap spray allows for a bypass of ASLR and DEP protections leading to potential memory corruption attacks.

 

(4) CVE-2017-5401 : Memory Corruption when handling ErrorResult

 

A crash triggerable by web content in which an ErrorResult references unassigned memory due to a logic error. The resulting crash may be exploitable.

 

(5) CVE-2017-5402 : Use-after-free working with events in FontFace objects

 

A use-after-free can occur when events are fired for a FontFace object after the object has been already been destroyed while working with fonts. This results in a potentially exploitable crash.

 

(6) CVE-2017-5403 : Use-after-free using addRange to add range to an incorrect root object

 

When adding a range to an object in the DOM, it is possible to use addRange to add the range to an incorrect root object. This triggers a use-after-free, resulting in a potentially exploitable crash.

 

(7) CVE-2017-5404 : Use-after-free working with ranges in selections

 

A use-after-free error can occur when manipulating ranges in selections with one node inside a native anonymous tree and one node outside of it. This results in a potentially exploitable crash.

 

■ High 등급

 

(1) CVE-2017-5406 : Segmentation fault in Skia with canvas operations

 

A segmentation fault can occur in the Skia graphics library during some canvas operations due to issues with mask/clip intersection and empty masks.

 

(2) CVE-2017-5407 : Pixel and history stealing via floating-point timing side channel with SVG filters

 

Using SVG filters that don't use the fixed point math implementation on a target iframe, a malicious page can extract pixel values from a targeted user. This can be used to extract history information and read text values across domains. This violates same-origin policy and leads to information disclosure.

 

(3) CVE-2017-5410 : Memory corruption during JavaScript garbage collection incremental sweeping

 

Memory corruption resulting in a potentially exploitable crash during garbage collection of JavaScript due errors in how incremental sweeping is managed for memory cleanup.

 

(4) CVE-2017-5411 : Use-after-free in Buffer Storage in libGLES

 

A use-after-free can occur during buffer storage operations within the ANGLE graphics library, used for WebGL content. The buffer storage can be freed while still in use in some circumstances, leading to a potentially exploitable crash.

 

단, 해당 취약점은 Windows 운영 체제에서만 사용하는 libGLES 이슈로 다른 운영 체제는 영향을 받지 않습니다.

 

■ Moderate 등급

 

(1) CVE-2017-5408 : Cross-origin reading of video captions in violation of CORS

 

Video files loaded video captions cross-origin without checking for the presence of CORS headers permitting such cross-origin use, leading to potential information disclosure for video captions.

 

(2) CVE-2017-5409 : File deletion via callback parameter in Mozilla Windows Updater and Maintenance Service

 

The Mozilla Windows updater can be called by a non-privileged user to delete an arbitrary local file by passing a special path to the callback parameter through the Mozilla Maintenance Service, which has privileged access.

 

단, 해당 공격은 로컬 시스템 접근이 필요하며 Windows 운영 체제에만 영향을 줍니다.

 

(3) CVE-2017-5412 : Buffer overflow read in SVG filters

 

A buffer overflow read during SVG filter color value operations, resulting in data exposure.

 

(4) CVE-2017-5413 : Segmentation fault during bidirectional operations

 

A segmentation fault can occur during some bidirectional layout operations.

 

(5) CVE-2017-5414 : File picker can choose incorrect default directory

 

The file picker dialog can choose and display the wrong local default directory when instantiated. On some operating systems, this can lead to information disclosure, such as the operating system or the local account name.

 

(6) CVE-2017-5415 : Addressbar spoofing through blob URL

 

An attack can use a blob URL and script to spoof an arbitrary addressbar URL prefaced by blob: as the protocol, leading to user confusion and further spoofing attacks.

 

(7) CVE-2017-5416 : Null dereference crash in HttpChannel

 

In certain circumstances a networking event listener can be prematurely released. This appears to result in a null dereference in practice.

 

(8) CVE-2017-5417 : Addressbar spoofing by draging and dropping URLs

 

When dragging content from the primary browser pane to the addressbar on a malicious site, it is possible to change the addressbar so that the displayed location following navigation does not match the URL of the newly loaded page. This allows for spoofing attacks.

 

(9) CVE-2017-5425 : Overly permissive Gecko Media Plugin sandbox regular expression access

 

The Gecko Media Plugin sandbox allows access to local files that match specific regular expressions. On OS OX, this matching allows access to some data in subdirectories of /private/var that could expose personal or temporary data. This has been updated to not allow access to /private/var and its subdirectories.

 

단, 해당 취약점은 OS X 운영 체제에서만 영향을 줍니다.

 

(10) CVE-2017-5426 : Gecko Media Plugin sandbox is not started if seccomp-bpf filter is running

 

On Linux, if the secure computing mode BPF (seccomp-bpf) filter is running when the Gecko Media Plugin sandbox is started, the sandbox fails to be applied and items that would run within the sandbox are run protected only by the running filter which is typically weak compared to the sandbox.

 

단, 해당 취약점은 Linux 운영 체제에서만 영향을 줍니다.

 

(11) CVE-2017-5427 : Non-existent chrome.manifest file loaded during startup

 

A non-existent chrome.manifest file will attempt to be loaded during startup from the primary installation directory. If a malicious user with local access puts chrome.manifest and other referenced files in this directory, they will be loaded and activated during startup. This could result in malicious software being added without consent or modification of referenced installed files.

 

■ Low 등급

 

(1) CVE-2017-5405 : FTP response codes can cause use of uninitialized values for ports

 

Certain response codes in FTP connections can result in the use of uninitialized values for ports in FTP operations.

 

(2) CVE-2017-5418 : Out of bounds read when parsing HTTP digest authorization responses

 

An out of bounds read error occurs when parsing some HTTP digest authorization responses, resulting in information leakage through the reading of random memory containing matches to specifically set patterns.

 

(3) CVE-2017-5419 : Repeated authentication prompts lead to DOS attack

 

If a malicious site repeatedly triggers a modal authentication prompt, eventually the browser UI will become non-responsive, requiring shutdown through the operating system. This is a denial of service (DOS) attack.

 

(4) CVE-2017-5420 : Javascript: URLs can obfuscate addressbar location

 

A javascript: url loaded by a malicious page can obfuscate its location by blanking the URL displayed in the addressbar, allowing for an attacker to spoof an existing page without the malicious page's address being displayed correctly.

 

(5) CVE-2017-5421 : Print preview spoofing

 

A malicious site could spoof the contents of the print preview window if popup windows are enabled, resulting in user confusion of what site is currently loaded.

 

(6) CVE-2017-5422 : DOS attack by using view-source: protocol repeatedly in one hyperlink

 

If a malicious site uses the view-source: protocol in a series within a single hyperlink, it can trigger a non-exploitable browser crash when the hyperlink is selected. This was fixed by no longer making view-source: linkable.

 

그러므로 Mozilla Firefox 웹 브라우저 사용자는 자동 업데이트(Firefox 메뉴 열기 → 도움말 메뉴 열기 → Firefox 정보) 기능을 이용하여 최신 버전으로 업데이트하시기 바랍니다.

블로그 이미지

울지않는 벌새

울지않는벌새가 되고 싶은 나..

댓글을 달아 주세요

  • Napalm 2017.03.08 23:18  댓글주소  수정/삭제  댓글쓰기

    굴림이나 돋움 등 작은 사이즈에선 클리어타입이 적용 안되는 폰트에서 클리어타입이 강제 적용되네요
    그것도 볼드체만..
    눈 엄청 아프네요

    • BlogIcon 울지않는 벌새 2017.03.08 23:26 신고  댓글주소  수정/삭제

      Firefox 웹 브라우저 설정이 변경되었나 보군요?

    • 참새 2017.03.10 09:20  댓글주소  수정/삭제

      으아. 끔찍하네요.
      클리어타입 너무 싫어하고 눈 아파서 아직도 돋움, 굴림체만 써오는데...

      파이어폭스처럼 업데이트가 즐겁지 않은 프로그램도 드물듯요. 최근들어 너무 까탈스러워졌어요.

      현재 50.1 버전 유지하고 있는데 이 버전 계속 유지하다 ESR버전으로 체인지 해야겠어요.

      잦은 업데이트때마다 부가기능 먹통이나 여러 문제점 때문에 스트레스가 크네요.

  • 참새 2017.03.10 09:18  댓글주소  수정/삭제  댓글쓰기

    벌새님 52.0에 관한 질문은 아니지만 평소 궁금했던 점 한가지 여쭤볼께요.
    파이어폭스 애용자이고요. 보안 문제가 걱정돼, 또 새 버전의 호기심에 몇년 째 신버전이 올라오자마자 꼬박꼬박 업데이트를 해왔는데요.

    그런데 툭하면 사용하던 부가기능이 먹통이거나 로보폼 호환이 안되는 등, 잦은 버전업으로 오히려 큰 스트레스만 받더군요.
    그렇다고 6개월 단위로 느긋하게 업데이트 하려해도 보안이 걱정스럽구요.

    그러다 ESR, 소위 안정화 버전이 있다는 걸 최근에야 알았습니다. 현재 최신버전은 45.7이던데요.
    현재 일반버전은 52.0 이죠.

    ESR 45.7 버전은 일반버전 기준 거의 6개월 전 이상 버전일텐데요
    그렇다면 ESR은 보안에 취약점이 많다는 건지요? 아니면 보안관련 업데이트는 45.7이지만 52 최신을 유지하는 것인지 궁금합니다.

    • BlogIcon 울지않는 벌새 2017.03.10 10:13 신고  댓글주소  수정/삭제

      Firefox 웹 브라우저를 비롯한 유명 웹 브라우저의 업데이트 목적은 보안 패치입니다.

      일반적으로는 Internet Explorer 취약점을 악용한 악성코드 유포가 가장 활발하지만 Firefox 역시 취약점 공격에 악용당하고 있으므로 6개월 동안 패치 안된 환경이라면 웹 사이트 접속 행위만으로도 감염될 수 있을꺼라 보여집니다.

    • 참새 2017.03.10 10:29  댓글주소  수정/삭제

      그럼 ESR 파이어폭스 안정화 버전은
      일반 버전의 거의 6개월 전 버전인데요.

      외향은 6개월전 버전을 유지하지먄 보안만은 최신을 유지하지 않을까요?

      아니라면 안정화 버전 의미가 없을거 같고요. 그렇게 보안에 불안한 버전을 안정화 버전이라 명하며 배포할 거 같지 않단 생각도 들구요

    • BlogIcon 울지않는 벌새 2017.03.10 10:35 신고  댓글주소  수정/삭제

      Firefox ESR 최신 버전을 확인해보니 52.0 버전입니다.

      왜 45.7 버전이 최신이라고 하시는지 알 수 없지만 https://www.mozilla.org/en-US/firefox/organizations/all/ 링크에서 제공하는 최신 버전을 사용하시기 바랍니다.

    • 참새 2017.03.10 10:35  댓글주소  수정/삭제

      http://www.mozilla.or.kr/community/blog/tag/esr

      https://www.krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=24808

      여길 보면 ESR (ESR 이게 안정화 버전이 아닌 장기화 버전이군요;;) 버전에서도 중요 보안패치 상황이 요할때면 버전업을 해주는 거 같은 느낌이네요.

    • 참새 2017.03.10 10:47  댓글주소  수정/삭제

      아 죄송합니다. 제가 뭔가 큰 착각을 한 거 같네요.
      포터블 버전만 사용하다보니.
      PortableApps.com 에선 최신버전이 45.7이라.. 장기화 버전이라 이 버전이 최신인 줄 알았네요.

      지금 모질라 홈피에서 확인해보니 ESR버전이 말씀대로 52., 또 45버전 2가지 스타일로 배포하는군요.
      많이 헷갈리네요.

      저는 아직까지 45.7이 최신 ESR버전,, 여기에 보안패치는 최신을 유지해주느냐 이게 궁금했던 건데....

      현 시점에서 ESR버전을 사용하는 기업이 있더라도 최신버전으로 스타트를 할 수 있게 2가지 버전으로 제공해주는 거 같아요.

      늦어도 2~3일내로 최신버전을 유지해주는 PortableApps.com에선 아직도 ESR은 45.07이 최신버전이네요

      http://portableapps.com/apps/internet/firefox-portable-esr