보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

파이어폭스 등 모질라 브라우저 및 메일 SW에서 보안 취약점 3가지 발견

입력 : 2024-05-22 14:34
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
모질라의 ‘파이어폭스·파이어폭스 ESR·포커스·선더버드’에 영향 미치는 취약점 발견
인증 우회 취약점, Use-After-Free 취약점, 스푸핑 취약점...신속한 보안 업데이트 필요


[보안뉴스 박은주 기자] 파이어폭스 개발사 모질라(Mozilla)가 제공하는 브라우저 및 소프트웨어에 영향을 주는 취약점이 발견됐다. 파이어폭스(Firefox)·파이어폭스 ESR·포커스(Focus) 브라우저와 이메일 관리 소프트웨어 선더버드(Thunderbird)를 이용하는 사용자에게 신속한 보안 업데이트가 권장된다.

[로고=모질라]


발견된 취약점은 총 3건으로 다음과 같다.
△CVE-2024-4768
△CVE-2024-4770
△CVE-2024-5022

CVE-2024-5022은 인증 우회 취약점으로 클릭재킹(Clickjacking)을 통해 공격자에게 권한을 부여하도록 유인한다. 투명 레이어나 가짜 UI 버튼을 브라우저에 삽입해 클릭을 유도하는 방식이다. 사용자는 인지하지 못한 채 비인가자에게 권한을 허용하게 된다. 인증을 우회한 공격자는 시스템에 접근해 악의적인 행위를 수행할 수 있다. 모질라 측은 팝업 알림과 로그인 인증 기술(WebAuthn) 사이 상호작용 과정에서 오류가 발생했다고 설명했다.

CVE-2024-4770은 Use-After-Free 취약점으로 사용자가 페이지를 PDF로 저장할 때 문제가 발생한다. 특정 글꼴을 사용할 때 프로그램과 충돌이 생겨 메모리 관리 오류가 발생하는 것이다. 취약점이 악용될 경우 해제된 메모리 영역에 접근할 수 있게 되고, 프로그램이 비정상적으로 종료되거나 임의 값이 출력될 수 있는 위험이 있다. 위 2가지 취약점은 파이어폭스·파이어폭스 ESR·선더버드에 영향을 미친다.

CVE-2024-5022은 IOS용 포커스에 영향을 미치는 스푸핑 취약점이다. 안전하지 않은 웹 사이트를 신뢰 사이트처럼 속여 악성 행위를 감행할 수 있다. 모질라는 각 취약점을 해결한 보안 업데이트를 발표했다. 위 취약점에 영향을 받는 제품 버전과 해결 버전은 다음 표와 같다.

▲취약점에 영향받는 제품 및 해결 방안[표=KISA]


파이어폭스 등 모질라가 제공하는 브라우저는 세계 여러 나라에서 사용하는 인기 있는 브라우저 중 하나다. 취약점이 많은 사용자에게 영향을 끼칠 수 있는 만큼 신속한 보안 업데이트가 요구된다.
[박은주 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
영상정보처리기기 및 안전조치 기준
개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
손해배상책임 의무대상자 변경 및 확대
공공기관 개인정보 보호수준 평가 확대
기타(댓글로)