개요
Mozilla 제품에서 발생하는 취약점을 해결하는 업데이트를 발표하였습니다. 해당하는 버전의 사용자는 최신 버전으로 업데이트하시기 바랍니다.
대상 제품
CVE-2024-8381, CVE-2024-8385
- Firefox 버전: ~ 130(제외)
- Firefox ESR 버전: ~ 128.2(제외)
CVE-2024-8387
- Firefox 버전: ~ 130(제외)
- Firefox ESR 버전: ~ 128.2(제외)
- Thunderbird 버전: ~ 128.2(제외)
CVE-2024-8389
- Firefox 버전: ~ 130(제외)
CVE-2024-7652
- Firefox 버전: ~ 128(제외)
- Firefox ESR 버전: ~ 115.13(제외)
- Thunderbird 버전: ~ 115.13(제외)
- Thunderbird 버전: ~ 128(제외)
해결된 취약점
‘with’ 환경으로 사용되는 객체의 속성 이름을 조회하는 동안 잠재적으로 악용될 수 있는 유형 혼동이 발생할 수 있는 취약점(CVE-2024-8381)
WASM에서 StructFields와 ArrayTypes 처리의 차이점은 악용 가능한 유형 혼동 취약점을 유발하는 데 사용될 수 있는 취약점(CVE-2024-8385)
메모리 버그로 인하여 메모리 손상이 일어날 수 있고, 이러한 버그 중 일부는 임의의 코드를 실행하는데 악용될 수 있는 취약점(CVE-2024-8387, CVE-2024-8389)
비동기 생성기와 관련된 ECMA-262 사양의 오류로 인해 유형 혼동이 발생하여 잠재적으로 메모리 손상 및 악용 가능한 충돌이 발생할 수 있는 취약점(CVE-2024-7652)
취약점 패치
최신 업데이트를 통해 제품별 취약점 패치가 다음과 같이 제공되었습니다. 영향받는 버전을 이용하는 경우 참고 사이트의 안내에 따라 최신 취약점 패치 버전으로 업데이트 하시기 바랍니다.
CVE-2024-8381, CVE-2024-8385
- Firefox 버전: 130
- Firefox ESR 버전: 128.2
CVE-2024-8387
- Firefox 버전: 130
- Firefox ESR 버전: 128.2
- Thunderbird 버전: 128.2
CVE-2024-8389
- Firefox 버전: 130
CVE-2024-7652
- Firefox 버전: 128
- Firefox ESR 버전: 115.13
- Thunderbird 버전: 115.13
- Thunderbird 버전: 128
참고사이트
[1] Mozilla Foundation Security Advisory 2024-39
https://www.mozilla.org/en-US/security/advisories/mfsa2024-39/
[2] Mozilla Foundation Security Advisory 2024-40
https://www.mozilla.org/en-US/security/advisories/mfsa2024-40/
[3] Mozilla Foundation Security Advisory 2024-29
https://www.mozilla.org/en-US/security/advisories/mfsa2024-29/
[4] Mozilla Foundation Security Advisory 2024-30
https://www.mozilla.org/en-US/security/advisories/mfsa2024-30/
[5] Mozilla Foundation Security Advisory 2024-31
https://www.mozilla.org/en-US/security/advisories/mfsa2024-31/
[6] Mozilla Foundation Security Advisory 2024-32
https://www.mozilla.org/en-US/security/advisories/mfsa2024-32/