Firefox 116 패치 높음
Firefox 116은 심각도가 높은 취약점 9개를 포함하여 14개 CVE에 대한 패치와 함께 출시되었습니다. 이 중 일부는 원격 코드 실행이나 샌드박스 이스케이프로 이어질 수 있습니다.
에 의해
플립보드
레딧
핀터레스트
왓츠앱
왓츠앱
이메일
Mozilla는 화요일에 심각도가 높은 여러 취약점에 대한 패치가 포함된 Firefox 116, Firefox ESR 115.1 및 Firefox ESR 102.14의 출시를 발표했습니다.
브라우저 제조업체는 권고에 총 14개의 CVE를 나열하고 있으며 그 중 9개는 '심각도 높음'으로 평가되었습니다. CVE 중 3개는 Firefox의 메모리 안전 버그를 나타냅니다.
CVE-2023-4045로 추적되는 심각도가 높은 결함 중 첫 번째는 Offscreen Canvas의 교차 출처 제한 우회로 설명되어 교차 출처 오염을 제대로 추적하지 못했습니다.
이 문제로 인해 웹 페이지에서 다른 사이트의 페이지에 표시된 이미지를 볼 수 있다고 Sophos는 업데이트 분석에서 지적합니다. 브라우저에는 웹사이트에서 생성된 HTML 및 JavaScript 코드가 다른 사이트의 콘텐츠에 액세스하지 못하도록 방지하는 동일 출처 정책이 포함되어 있습니다.
Firefox 116 패치의 심각도가 높은 두 번째 문제는 CVE-2023-4046입니다. 이는 WASM 컴파일 중에 잘못된 값을 사용하는 것으로 설명됩니다.
“어떤 상황에서는 WASM JIT 분석의 전역 변수에 오래된 값이 사용되었을 수 있습니다. 이로 인해 잘못된 컴파일이 발생하고 콘텐츠 프로세스에서 잠재적으로 악용 가능한 충돌이 발생했습니다.”라고 Mozilla는 말합니다.
브라우저 업데이트는 또한 클릭재킹을 통한 권한 요청 우회인 CVE-2023-4047을 해결합니다. 페이지는 사용자가 신중하게 배치된 항목을 클릭하도록 속일 수 있지만 대신 사용자에게 표시되지 않은 보안 대화 상자에 대한 클릭으로 입력을 등록할 수 있습니다.
Sophos는 “위치 액세스, 알림 전송, 마이크 활성화 등과 같은 잠재적으로 위험한 권한은 브라우저 자체에서 명확한 경고를 확인하고 이에 따라 조치를 취할 때까지 부여되지 않아야 합니다.”라고 말합니다.
Firefox 116이 해결하는 세 가지 심각도가 높은 취약점에는 CVE-2023-4048(제작된 HTML 파일을 분해할 때 DOMParser의 작동이 중단되는 범위를 벗어난 읽기 결함), CVE-2023-4049(잠재적으로 악용될 수 있는 경쟁 조건)가 포함됩니다. use-after-free 취약점) 및 CVE-2023-4050(StorageManager의 스택 버퍼 오버플로로 인해 샌드박스 이스케이프가 발생할 가능성이 있음)
CVE-2023-4056, CVE-2023-4057 및 CVE-2023-4058로 추적되는 Firefox 116에서 해결된 메모리 안전 버그로 인해 임의 코드가 실행될 수 있습니다.
심각도가 높은 이러한 문제의 대부분은 Firefox 확장 지원 및 Thunderbird에도 영향을 미치며 Firefox ESR 115.1, Firefox ESR 102.14, Thunderbird 115.1 및 Thunderbird 102.14에서 해결되었다고 Mozilla는 말합니다.
Mozilla는 이러한 취약점이 공격에 악용된다는 사실에 대해 언급하지 않습니다.
관련된:Firefox 115, 심각도가 높은 Use-After-Free 취약점 패치
관련된:Mozilla, Firefox 111 출시로 심각도가 높은 취약점 패치
관련된:Firefox, 패치 10 심각도 높은 취약점 업데이트
Ionut Arghire는 SecurityWeek의 국제 특파원입니다.
SecurityWeek 이메일 브리핑을 구독하여 업계 전문가의 통찰력 있는 칼럼과 함께 최신 위협, 동향, 기술에 대한 정보를 받아보세요.
보안 전문가와 함께 사이버 위험을 줄이고 비즈니스 역량을 강화할 수 있는 ZTNA의 미개발 잠재력에 대해 논의하세요.
소프트웨어 공급망 보안을 위한 새로운 전략을 소개하는 웹 세미나에 Microsoft와 Finite State에 참여하세요.
지금의 좋은 것, 나쁜 것, 추한 것을 생각하는 것은 우리에게 "생존을 위한 부정적인 초점과 번영을 위한 긍정적인 초점"을 제공하는 과정입니다.(마크 솔로몬)
위협 정보를 공유하고 다른 위협 인텔리전스 그룹과 협력하면 고객 보호를 강화하고 사이버 보안 부문 전반의 효율성을 높이는 데 도움이 됩니다.(Derek Manky)