English

◀◁ 뒤로 취약점ID 28918 위험도 40 포트 139,445 프로토콜 TCP 분류 SMB 상세설명 원격 Windows 호스트에 설치된 Firefox 버전은 68.0 이전입니다. 따라서 mfsa2019-21 권고에서 언급 된 여러 가지 취약점의 영향을받습니다. - 성공한 Pwn2Own 항목의 일환으로 Niklas Baumstark는 악의적 인 언어 팩을 설치 한 다음 손상된 번역을 사용하는 브라우저 기능을 열어 샌드 박스 이스케이프를 시연했습니다. - 내부 윈도우가 재사용 될 때 원점 간 보호를 위해 document.domain의 사용을 고려하지 않습니다. 다른 하위 도메인의 페이지가 document.domain을 사용하는 경우이 두 페이지는 원본 보안을 완화하기 위해 document.domain을 사용하지 않은 하위 도메인을 포함하여 다른 하위 도메인의 임의 페이지에 스크립트를 삽입 할 수 있습니다. - 플래시와 같이 상태 308 리디렉션 응답을 수신하는 NPAPI 플러그인에 의한 POST 요청은 CORS 요구 사항을 우회 할 수 있습니다. 이로 인해 공격자가 CSRF (Cross-Site Request Forgery) 공격을 수행 할 수 있습니다. - 캐시 된 HTTP / 2 스트림이 아직 사용 중일 때 닫힐 때 HTTP / 2에서 사용 후 취약점이 발생할 수 있으므로 잠재적으로 악용 될 수있는 크래시가 발생합니다. - Necko는 UDP 연결 중에 잘못된 스레드에서 자식을 액세스 할 수 있으므로 일부 경우에는 악용 될 수있는 오류가 발생할 수 있습니다. - 비어 있거나 잘못된 형식의 p256-ECDH 공개 키가 값을 메모리에 복사하여 사용하기 전에 부적절하게 위생 처리하여 세그먼트 화 오류를 유발할 수 있습니다. - 페이지 내용을 파싱하는 동안 오류로 인해 특정 상황에서 적절하게 소독 된 사용자 입력을 잘못 해석하여 웹 사이트에서 XSS 위험을 초래할 수 있습니다. - 스크립트에 의해 명시 적으로 액세스 될 때까지 window.globalThis는 열거 가능하지 않으며 결과적으로 Object.getOwnPropertyNames (window)와 같은 코드에 표시되지 않습니다. 창 개체에 대한 열거 및 고정 액세스에 종속 된 샌드 박스를 배포하는 사이트에서는이 샌드 박스를 무시할 수 있으므로이 샌드 박스를 무시할 수 있습니다. - 캐럿 (^) 문자가 분리 기호로 사용되기 때문에 일부 URI를 잘못 작성하여 이스케이프 처리하여 발신 속성을 속일 수있는 취약점이 존재합니다. (CVE-2019-11717) - 활동 스트림은 스 니펫 서비스 웹 사이트에서 보낸 콘텐츠를 표시 할 수 있습니다. 이 컨텐트는 위생 처리없이 활동 스트림 페이지의 innerHTML에 기록되어 Snipper 서비스가 유출 된 경우 검색 기록과 같은 활동 스트림에서 사용 가능한 다른 정보에 대한 잠재적 인 액세스를 허용합니다. - 0x00 바이트를 선두로하여 PKCS # 8 형식의 curve25519 개인 키를 가져올 때 NSS (Network Security Services) 라이브러리에서 범위를 벗어난 읽기를 트리거 할 수 있습니다. 이것은 정보 유출로 이어질 수 있습니다. - 일부 유니 코드 문자는 구문 분석 오류를 트리거하는 대신 웹 컨텐트를 파싱하는 동안 공백으로 잘못 처리됩니다. 이를 통해 악성 코드가 처리되어 XSS (Cross-Site Scripting) 필터링을 피할 수 있습니다. - 유니 코드 라틴 'kra'문자는 주소 표시 줄에 표준 'k'문자를 스푸핑하는 데 사용할 수 있습니다. 이를 통해 흉부 코드 텍스트로 표시되지 않는 도메인 스푸핑 공격을 허용하므로 사용자가 혼란을 일으킬 수 있습니다. - 사용자가 로컬로 저장된 HTML 파일을 열면이 파일은 file : 이름이 알려 지거나 추측되는 경우 동일한 디렉토리 또는 하위 디렉토리의 다른 파일에 액세스하는 URI Fetch API를 사용하여이 디렉토리에 저장된 파일의 내용을 읽을 수 있으며 서버에 업로드 할 수 있습니다. Luigi Gubello는 인기있는 Android 메시징 앱과 결합하여 악의적 인 HTML 첨부 파일이 사용자에게 전송되어 Firefox에서 해당 첨부 파일을 열면 로컬에 저장된 파일 이름에 대한 해당 앱의 예측 가능한 패턴으로 인해 첨부 파일을 읽을 수 있음을 보여주었습니다 피해자는 다른 특파원에게서 받았다. - 초기 페치가 브라우징 컨텍스트의 원점 속성을 무시한 애드온을 설치하는 동안 취약점이 존재합니다. 이로 인해 Firefox Multi-Account Containers Web Extension을 사용하는 사람들을 위해 개인 탐색 모드 나 다른 컨테이너에서 쿠키가 누출 될 수 있습니다. - 응용 프로그램 권한을 사용하면 input.mozilla.org 사이트에 추가적인 원격 문제 해결 권한이 부여됩니다.이 사이트는 폐기되었으며 다른 사이트로 리디렉션됩니다. 이 추가 사용 권한은 불필요하며 악의적 인 공격의 잠재적 인 위험 요소입니다. * 참고 사이트: https://www.mozilla.org/en-US/security/advisories/mfsa2019-21/ * 영향을 받는 플랫폼: Mozilla Project, Firefox 68.0 이전의 버전들 Microsoft Windows Any version Linux Any version 해결책 Mozilla Firefox 다운로드 웹 페이지인 http://www.mozilla.or.kr/ko/ 에서 Firefox의 가장 최신 버전(68.0 혹은 이후)을 구하여 업그레이드 하여야 한다. 관련 URL CVE-2019-9811,CVE-2019-11709,CVE-2019-11710,CVE-2019-11711,CVE-2019-11712,CVE-2019-11713,CVE-2019-11714,CVE-2019-11715,CVE-2019-11716 (CVE) 관련 URL (SecurityFocus) 관련 URL (ISS)