개요
Mozilla 제품군(Firefox, Thunderbird, Firefox ESR 버전)에서 발생하는 취약점을 해결하는 업데이트가 제공되었습니다. 해당하는 버전 사용자는 최신 버전으로 업데이트하시기 바랍니다.
대상 제품
- Firefox 122 이전 버전
- Firefox ESR 115.7 이전 버전
- Thunderbird 115.7 이전 버전
- iOS용 Focus 122 이전 버전
해결된 취약점
ANGLE에서 범위를 벗어난 쓰기 취약점 (CVE-2024-0741)
사용자 입력 타임스탬프 업데이트 실패 취약점 (CVE-2024-0742)
NSS TLS 메서드의 충돌 취약점 (CVE-2024-0743)
JavaScript의 와일드 포인터 값 역참조 취약점 (CVE-2024-0744)
WebAudio의 스택 버퍼 오버플로우 취약점 (CVE-2024-0745)
Linux에서 인쇄 미리보기 대화 상자를 열었을 때 발생하는 브라우저 충돌 취약점 (CVE-2024-0746)
unsafe-inline 지시문이 설정 시 발생하는 콘텐츠 보안 정책 우회 취약점 (CVE-2024-0747)
손상된 콘텐츠 프로세스에서 문서 URI 수정이 가능한 취약점 (CVE-2024-0748)
피싱 사이트 팝업이 주소 표시줄에 로컬 출처 표시기 가능한 취약점 (CVE-2024-0749)
클릭재킹을 통한 잠재적 권한 요청 우회 취약점 (CVE-2024-0750)
devtools를 통한 권한 상승 취약점 (CVE-2024-0751)
macOS에서 업데이트를 적용 시 발생하는 UAF(use-after-free) 취약점 (CVE-2024-0752)
하위 도메인의 HSTS 정책이 상위 도메인의 정책 우회 취약점 (CVE-2024-0753)
devtools에서 일부 WASM 파일을 사용 시, 충돌이 발생 가능한 취약점 (CVE-2024-0754)
Firefox 122, Firefox ESR 115.7 및 Thunderbird 115.7에서 발생하는 메모리 안전 버그 수정 취약점 (CVE-2024-0755)
사용자가 로드한 웹 페이지 내에서 무단 작업으로 이어지는 JavaScript URI를 열어 window.open()을 사용할 경우, UXSS를 통해 승인되지 않은 스크립트를 실행할 수 있는 취약점 (CVE-2024-0606)
setTimeout race condition이 포함된 JavaScript URI 사용 시, urlbar의 상위 원본 사이트에서 승인되지 않은 스크립트를 실행할 수 있는 취약점 (CVE-2024-0605)
취약점 패치
2024년 1월 업데이트를 통해 취약점 패치가 제공되었습니다. 참고 사이트 [1]의 내용을 따라 최신 취약점 패치 버전으로 업데이트 하시기 바랍니다.
Firefox 122 버전
Firefox ESR 115.7 버전
Thunderbird 115.7 버전
iOS용 Focus 122
참고 사이트
[1] Mozilla Foundation Security Advisories
https://www.mozilla.org/en-US/security/advisories/
[2] Mozilla Foundation Security Advisory 2024-01
https://www.mozilla.org/en-US/security/advisories/mfsa2024-01/
[3] Mozilla Foundation Security Advisory 2024-02
https://www.mozilla.org/en-US/security/advisories/mfsa2024-02/
[4] Mozilla Foundation Security Advisory 2024-04
https://www.mozilla.org/en-US/security/advisories/mfsa2024-04/
[5] Mozilla Foundation Security Advisory 2024-09
https://www.mozilla.org/en-US/security/advisories/mfsa2024-03/