보안 권고문

Mozilla 제품 2024년 8월 1차 보안 업데이트 권고

등록일: 2024년 8월 8일

개요

Mozilla 제품군 (Firefox, Firefox ESR, Thunderbird 버전) 취약점을 해결하는 업데이트가 제공되었습니다. 해당하는 제품 사용자는 최신 버전으로 업데이트 하시기 바랍니다.

대상 제품

CVE-2024-7518, CVE-2024-7520, CVE-2024-7528

Firefox 버전: ~ 129(제외)
Firefox ESR 버전: ~ 128.1(제외)
Thunderbird 버전: ~ 128.1(제외)

CVE-2024-7519, CVE-2024-7521, CVE-2024-7522, CVE-2024-7525, CVE-2024-7526, CVE-2024-7527

Firefox 버전: ~ 129(제외)
Firefox ESR 버전: ~ 115.14(제외)
Firefox ESR 버전: ~ 128.1(제외)
Thunderbird 버전: ~ 128.1(제외)
Thunderbird 버전: ~ 115.14(제외)

CVE-2024-7523

Firefox 버전: ~ 129(제외)

CVE-2024-7524

Firefox 버전: ~ 129(제외)
Firefox ESR 버전: ~ 115.14(제외)
Firefox ESR 버전: ~ 128.1(제외)

해결된 취약점

악성 사이트에서 스푸핑 공격을 수행할 수 있는 취약점(CVE-2024-7518)

그래픽 공유 메모리를 처리할 때의 불충분한 검사로 인해 메모리 손상이 발생했을 수 있는 취약점(CVE-2024-7519)

공격자가 WebAssembly의 유형 혼동 버그를 악용해 잠재적으로 코드 실행을 달성할 수 있는 취약점(CVE-2024-7520)

불완전한 WebAssembly 예외 처리로 인해 사용 후 해제가 발생할 수 있는 취약점(CVE-2024-7521)

편집기 코드가 속성 값을 확인하지 못함으로써 범위를 벗어난 읽기가 발생했을 수 있는 취약점(CVE-2024-7522)

선택 옵션이 보안 프롬프트를 부분적으로 가려 악성 사이트에서 사용자를 속여 권한을 부여하도록 하는 데 사용될 수 있는 취약점(CVE-2024-7523)

“strict-dynamic” 모드에서 콘텐츠 보안 정책으로 보호되는 사이트에서 HTML 요소를 삽입할 수 있는 공격자가 일부 shim에 DOM Clobbering 공격을 사용하여 XSS를 달성하고 CSP strict-dynamic 보호를 우회할 수 있는 취약점(CVE-2024-7524)

StreamFilter최소한의 권한만으로 웹 확장 프로그램을 사용해 모든 사이트의 요청의 응답 본문을 읽고 수정하는 데 사용할 수 있는 앱을 만들 수 있는 취약점(CVE-2024-7525)

ANGLE이 매개변수를 초기화하지 못해 초기화되지 않은 메모리에서 읽는 것을 악용하여 메모리에서 민감한 데이터를 누출할 수 있는 취약점(CVE-2024-7526)

스위핑 시작 시 예상치 못한 마킹 작업으로 인해 사용 후 해제가 발생했을 수 있는 취약점(CVE-2024-7527)

IndexedDB에서 잘못된 가비지 컬렉션 상호 작용으로 인해 사용 후 해제가 발생할 수 있는 취약점(CVE-2024-7528)

취약점 패치

2024년 08월 06일 업데이트를 통해 취약점 패치가 다음과 같이 제공되었습니다. 취약점 패치에 대한 보다 자세한 사항은 “Mozilla” 참고 사이트 문서를 참고하시기 바랍니다.

CVE-2024-7518, CVE-2024-7520, CVE-2024-7528