최근 업데이트 애플 사파리 와 Google Chrome 이미 야생에서 사용되고 있는 신비한 제로데이 익스플로잇을 수정했기 때문에 큰 헤드라인을 장식했습니다.
그러나 이번 주에는 최신 XNUMX주 Firefox 업데이트도 보았습니다. 평소처럼 떨어졌다 마지막으로 예정된 전체 버전 번호 증분 릴리스 후 XNUMX주 후인 화요일.
우리는 지금까지 이 업데이트에 대해 쓰지 않았습니다. 왜냐하면 좋은 소식은...
... 수준에 몇 가지 흥미롭고 중요한 수정 사항이 있었지만 높은, 제로데이도 없었고 결정적인 이번 달 버그.
메모리 안전 버그
평소와 같이 Mozilla 팀은 전체 CVE 번호 퍼징(fuzzing)과 같은 사전 예방적 기술을 사용하여 발견하고 수정한 버그로, 버그가 있는 코드는 자동으로 결함을 조사하고, 문서화하고, 누군가가 해당 버그가 얼마나 악용될 수 있는지 알아낼 때까지 기다리지 않고 패치됩니다.
- CVE-2022-38477 버전 102 이상의 코드를 기반으로 하는 Firefox 빌드에만 영향을 미치는 버그를 다룹니다. 104.0및 현재 출시된 기본 확장 지원 릴리스 버전 ESR 102.2.
- CVE-2022-38478 버전 91로 되돌아가는 Firefox 코드에 존재하는 추가 버그를 다룹니다. 이것이 현재 XNUMX차 확장 지원 릴리스의 기초이기 때문입니다. ESR 91.13.
평소와 같이 Mozilla는 다음과 같은 간단한 선언을 할 만큼 충분히 평이합니다.
이러한 버그 중 일부는 메모리 손상의 증거를 보여주었으며 충분한 노력을 기울이면 이들 중 일부가 임의 코드를 실행하는 데 악용될 수 있다고 가정합니다.
ESR의 신비화
우리가 이전에 설명했듯이, Firefox 확장 지원 릴리스 보안 업데이트를 놓치지 않는 한 기능 업데이트 및 기능 변경을 지연하는 것을 선호하는 보수적인 가정 사용자와 기업 시스템 관리자를 대상으로 합니다.
ESR 버전 번호가 결합되어 보유하고 있는 기능 세트와 해당 버전이 출시된 이후로 얼마나 많은 보안 업데이트가 있었는지 알 수 있습니다.
그래서 ESR 102.2, 우리는 102+2 = 104(현재 최첨단 버전)를 가지고 있습니다.
마찬가지로 ESR 91.13, 우리는 91+13 = 104를 가지고 있습니다. 버전 91이 약 XNUMX년 전의 기능 세트로 여전히 돌아갔지만 보안 패치에 관한 한 최신 정보임을 분명히 합니다.
항상 두 개의 ESR이 있는 이유는 버전 간에 상당한 이중화 기간을 제공하기 위한 것이므로 보안 수정을 위해 새로운 기능을 도입하는 데 매달리지 않습니다. 이전 ESR을 계속 사용할 수 있는 겹침이 항상 있습니다. 미래에 필요한 전환에 대비하기 위해 새로운 ESR을 시험해 보는 동안.
신뢰 스푸핑 버그
두 가지 구체적이고 명백하게 관련된 취약점은 다음과 같습니다. 만든 높은 범주 이번 달은:
- CVE-2022-38472 : XSLT 오류 처리를 통한 주소 표시줄 스푸핑.
- CVE-2022-38473 : 교차 출처 XSLT 문서는 부모의 권한을 상속받았을 것입니다.
상상할 수 있듯이 이러한 버그는 순진해 보이는 사이트에서 가져온 불량 콘텐츠가 결국 Firefox가 사용자가 해서는 안 되는 웹 페이지를 신뢰하도록 속일 수 있음을 의미합니다.
첫 번째 버그에서 Firefox는 알 수 없고 신뢰할 수 없는 사이트에서 제공되는 콘텐츠를 마치 이미 알고 신뢰할 수 있는 서버에서 호스팅되는 URL에서 온 것처럼 표시하도록 유인될 수 있습니다.
두 번째 버그에서 하위 창에 표시되는 신뢰할 수 없는 사이트 X의 웹 콘텐츠( IFRAME, 짧은 인라인 프레임) 신뢰할 수 있는 사이트 내에서 Y…
... 웹캠과 마이크에 대한 액세스를 포함하여 X에게 전달될 것으로 예상하지 않는(그리고 고의로 부여하지도 않을) 부모 창 Y에서 보안 권한을 "빌려온" 것으로 끝날 수 있습니다.
무엇을해야 하는가?
데스크탑 또는 노트북에서 다음으로 이동하십시오. 도움말 > 파이어 폭스 소개 최신 상태인지 확인합니다.
그렇지 않은 경우 소개 창에서 필요한 업데이트를 다운로드하고 활성화하라는 메시지가 표시됩니다. 104.0및 ESR 102.2및 ESR 91.13, 사용 중인 릴리스 시리즈에 따라 다릅니다.
휴대폰에서 확인 구글 플레이 또는 애플 앱 스토어 최신 버전인지 확인합니다.
Linux 및 BSD에서 배포판에 패키지된 Firefox 버전을 사용하는 경우 배포판 제조업체에 게시한 최신 버전이 있는지 확인하세요.
즐거운 패치!
![시즌 3 107화: 사기꾼을 쫓아내는 데 XNUMX개월이 걸렸는데 그게 좋다고 생각하시나요? [오디오 + 텍스트] PlatoBlockchain 데이터 인텔리전스. 수직 검색. 일체 포함.](https://platoblockchain.com/wp-content/uploads/2022/09/bn-1200-300x157.png "S3 Ep107: 사기꾼을 쫓아내는 데 XNUMX개월이 걸렸는데 그게 좋다고 생각하세요? [오디오 + 텍스트]")
![S3 Ep94: 이런 종류의 암호화(그래픽), 다른 종류의 암호화(통화!) [오디오 + 텍스트] PlatoBlockchain Data Intelligence. 수직 검색. 일체 포함.](https://platoblockchain.com/wp-content/uploads/2022/08/s3-ep94-200000000-300x157.png "S3 Ep94: 이런 종류의 암호화(그래픽), 다른 종류의 암호화(통화!) [오디오 + 텍스트]")
