English

◀◁ 뒤로 취약점ID 28950 위험도 40 포트 139,445 프로토콜 TCP 분류 SMB 상세설명 원격 Windows 호스트에 설치된 Firefox 버전은 121.0 이전입니다. 따라서 mfsa2023-56 권고에 나열된 여러 취약점의 영향을 받습니다. - WebGL <code>DrawElementsInstanced</code> 메서드는 Mesa VM 드라이버가 있는 시스템에서 사용되는 경우 힙 버퍼 오버플로의 영향을 받기 쉬운 상태였습니다. 이 문제로 인해 공격자가 원격으로 코드를 실행하거나 샌드박스를 피할 수 있습니다. (CVE-2023-6856) - 여러 NSS NIST 곡선이 Minerva로 알려진 사이드 채널 공격에 취약했습니다. 이 공격으로 인해 공격자가 개인 키를 복구할 수 있습니다. (CVE-2023-6135) - <code>EncryptingOutputStream</code>은 초기화되지 않은 데이터 유출에 취약했습니다. 이 문제는 로컬 디스크에 데이터를 쓰는 데에만 악용되며 개인 브라우징 모드에 영향을 줄 수 있습니다. (CVE-2023-6865) - 심볼릭 링크를 해결할 때 충돌이 발생하고 <code>readlink</code>에 전달되는 버퍼가 실제로 필요한 것보다 작을 수 있습니다. 이 버그는 Unix 기반 운영 체제(Android, Linux, MacOS)의 Firefox에만 영향을 받습니다. Windows는 영향을 받지 않습니다. (CVE-2023-6857) - Firefox는 OOM 처리가 불충분하기 때문에 <code>nsTextFragment</code>의 힙 버퍼 오버플로의 영향을 받습니다. (CVE-2023-6858) - 메모리가 압박되면 메모리 해제 후 사용 (Use After Free) 상태가 TLS 소켓 생성에 영향을줍니다. (CVE-2023-6859) - TypedArrays는 실패하기 쉽고 적절한 예외 처리가 수행되지 않았을 수 있습니다. 이로 인해 TypedArray가 항상 성공할 것으로 예상하는 다른 API에서 악용될 수 있습니다. (CVE-2023-6866) - <code>VideoBridge</code>를 사용하면 콘텐츠 프로세스가 원격 디코더에서 생성한 텍스처를 사용할 수 있습니다. 이것은 샌드 박스를 이스케이프하기 위해 악용 될 수 있습니다. (CVE-2023-6860) - 버튼 클릭으로 팝업이 숨겨지는 타이밍은 권한 프롬프트에서 안티 클릭 재킹 지연과 거의 같은 길이였습니다. 이 사실을 이용하여 권한 부여 버튼이 표시되는 위치를 클릭하도록 사용자를 안내하고 놀라게 할 수있었습니다. (CVE-2023-6867) * 참고 사이트: https://www.mozilla.org/en-US/security/advisories/mfsa2023-56/ * 영향을 받는 플랫폼: Mozilla Project, Firefox 121.0 이전의 버전들 Microsoft Windows Any version Linux Any version 해결책 Mozilla Firefox 다운로드 웹 페이지인 http://www.mozilla.or.kr/ko/ 에서 Firefox의 가장 최신 버전(121.0 혹은 이후)을 구하여 업그레이드 하여야 한다. 관련 URL CVE-2023-6856,CVE-2023-6135,CVE-2023-6865,CVE-2023-6857,CVE-2023-6858,CVE-2023-6859,CVE-2023-6866,CVE-2023-6860,CVE-2023-6867 (CVE) 관련 URL (SecurityFocus) 관련 URL (ISS)