IT & Security/웹브라우저

파이어폭스(Firefox) 83 업데이트 - 취약점 21건 패치

la Nube 2020. 11. 18. 12:24
반응형

모질라(Mozilla)에서 개발하는 웹브라우저인 '불여우' 파이어폭스(Firefox)의 새 버전이 나왔습니다.

2020년 11월 17일(시차로 인해 우리나라에서는 18일)에 공개된 새 버전은 83.0 입니다.


한편, 파이어폭스 ESR (Extended Support Release)도 78.5.0 버전이 공개되었습니다.

파이어폭스 83.0과 달리 파이어폭스 ESR 78.5.0은 새로운 기능 추가 없이 보안 패치만 제공됩니다.


파이어폭스 ESR은 데비안(Debian) 리눅스에서 기본 브라우저로 제공되며,

토르(Tor) 브라우저나, '천둥새' 썬더버드(Thunderbird) 이메일 클라이언트로 변형되어 개발되기도 합니다.





HTTPS 전용 모드


파이어폭스 83에서는 'HTTPS-Only mode' (한국어로는 'HTTPS 전용 모드')라는 기능을 도입했습니다.

이 기능은 URL을 자동으로 수정하여 HTTPS로 바꿔주는 역할을 합니다.

그래서 보다 안전한 연결을 할 수 있게 하죠.


HTTPS 전용 모드가 켜져 있는 경우, 파이어폭스에서는 http:// 로 시작하는 URL로 웹 사이트에 방문하려고 할 때,

다음과 같이 http:// 로 된 URL을 자동으로 https:// 로 변경하게 됩니다.




만약, 파이어폭스에서 HTTPS를 사용하여 접속할 수 없는 웹 사이트에서는

다음과 같이 보안 연결을 사용할 수 없다는 HTTPS 전용 모드 경고를 하게 됩니다.

HTTPS 보안 연결 없이 HTTP 사이트로 계속 진행하겠냐고 사용자에게 물어보는 것이죠.




이 기능은 기본적으로 파이어폭스 83에서 꺼져 있습니다.

그래서 사용자가 직접 '설정' -> '개인 정보 및 보안'에서 다음과 같은 설정을 찾아야 합니다.





제로데이(0-day) 취약점


파이어폭스 83에는 지난 10월, '구글 프로젝트 제로'에서 발견한,

Freetype 제로데이(0-day) 취약점에 대한 보안 패치가 포함되어 있습니다.


원래 구글 프로젝트 제로는 크롬에 대한 실제 공격에 사용되고 있는

Freetype 제로데이(0-day) 취약점을 구글 크롬에서 발견하였는데,

이 취약점이 Freetype을 사용하는 다른 소프트웨어에도 영향을 준다고 밝혀졌습니다.

그래서 Freetype을 사용하는 모질라 파이어폭스 역시 보안 패치가 필요하게 되었죠.


CVE-2020-15999라고 이름 붙여진 이 취약점은 파이어폭스 83 출시와 함께 패치되었습니다.




보안 취약점 패치


그 외 파이어폭스 83.0에서는 21건의 보안 취약점이 발견되었으며, 그에 대한 보안 패치가 포함되어 있습니다.




업데이트 하는 방법


따라서 사용자께서는 한국인터넷진흥원(KISA)에서 소개하는 다음의 방법으로 업데이트를 진행하기 바랍니다.

o Firefox를 실행하여 메뉴버튼 클릭 → 도움말 클릭 → "Firefox 정보" 선택

 - Firefox 정보 창이 열리면 자동으로 업데이트를 확인하고 새 버전 다운로드

 - 다운로드가 완료되고 설치 준비가 완료되면 "Firefox를 지금 다시 시작" 버튼을 클릭

 ※ 위와 같은 방법으로 업데이트가 시작되지 않거나 완료되지 않는다면 최신 Firefox를 다운받아 재설치 권고


윈도우가 아닌 리눅스에서는 각 배포판 개발사의 업데이트를 기다려주시기 바랍니다.

 - 우분투 : https://launchpad.net/ubuntu/+source/firefox

 - 리눅스민트(하모니카 포함) : http://packages.linuxmint.com/pool/upstream/f/firefox/


이번 버전의 유저 에이전트는 다음과 같습니다.


<파이어폭스>

Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:83.0) Gecko/20100101 Firefox/83.0


<파이어폭스 ESR>

Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:78.0) Gecko/20100101 Firefox/78.0


다음 버전인 파이어폭스 84의 정식 버전은 12월 15일(시차로 인해 우리나라는 16일)에 공개될 예정입니다.




<참고>

https://www.bleepingcomputer.com/news/software/firefox-83-boosts-security-with-https-only-mode-zero-day-fix/

반응형