Home > 전체기사
취약점 여러 개 해결한 파이어폭스 77과 토르 브라우저 9.5 나와
  |  입력 : 2020-06-04 11:43
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
고위험군 취약점이 절반 넘어...CVE-2020-12399 취약점, 비밀 키 노출시켜
파이어폭스 기반의 토르 브라우저도 업그레이드...취약점 해결되고 보안 기능 강화돼


[보안뉴스 문가용 기자] 파이어폭스 77과, 파이어폭스를 기반으로 한 토르 브라우저 9.5가 이번 주 발표됐다. 여러 가지 취약점들이 패치됐는데, 이 중에는 고위험군에 속하는 것들도 있었다. 파이어폭스의 경우 8개의 보안 취약점이 패치되었고, 이 중 5개가 고위험군이었다.

[이미지 = utoimage]


가장 위험하다고 손꼽히는 취약점은 CVE-2020-12399다. NSS 라이브러리의 DSA 시그니처에 시간차 공격을 감행할 수 있게 해주는 것으로, DSA 시그니처를 실행할 때 생기는 시간 격차 때문에 발동된다. 이를 성공적으로 익스플로잇 하게 될 경우 비밀 키를 노출시킬 수 있게 된다.

그 다음으로 위험한 취약점은 CVE-2020-12405로, SharedWorkerService에서 발견된 UaF 취약점이다. 악성 페이지에 접속했을 때 발생할 수 있는 경합 조건 때문에 발동이 걸린다고 한다. 비슷하게 위험한 CVE-2020-12406은 자바스크립트의 타입 컨퓨전(type confusion) 취약점으로, 파이어폭스의 개발사인 모질라는 네이티브타입스(NativeTypes)를 활용해 패치했다.

그 외에 파이어폭스는 임의 GPU 메모리를 화면으로 노출시키는 중간급 위험도의 취약점 하나와, 저위험도의 URL 스푸핑 취약점 두 개를 수정하기도 했다.

토르 브라우저 9.5의 경우도 파이어폭스에서 발견된 고위험군 취약점이 해결된 버전이다. 여기에 더해 보안 기능이 강화되기도 했다. 이 버전부터 어니언 로케이션(Onion Location)을 사용자가 활성화 시킬 수 있다. 어니언 로케이션은 사용자가 특정 웹사이트를 방문했을 때, 그 사이트의 ‘어니언 버전’이 존재하거나 존재하지 않는다는 것을 알려주는 기능으로, 사용자는 선호도에 따라 .onion 사이트로 접속해 익명성을 강화할 수 있다.

만약 보안을 목적으로 인증 키를 사용하고 있는 웹사이트라면, 토르 브라우저 사용자들은 그 인증 키들을 브라우저에 저장할 수도 있다. 그런 다음 about:preferences#privacy의 어니언 서비스 오센티케이션(Onion Services Authentication)으로 가서 저장된 키들을 관리하는 것도 가능하다.

토르 브라우저의 보안 지수들도 업데이트 됐다. 때문에 사용자들은 안전하지 못한 웹사이트에 접속했을 때 그 사실을 보다 쉽게 인지할 수 있게 되었다고 한다. 오류 메시지도 조금 더 이해하기 쉽게 바뀌었고, 이를 통해 사용자들은 왜 해당 사이트에 접속하는 게 위험한지 보다 명확히 알 수 있게 되었다고 한다.

토르는 언론자유재단(Freedome of the Press Foundation, FPF), 전자프런티어재단(Electronic Frontier Foundation)과의 협업을 통해 사람이 기억하기 좋은 어니언 서비스 주소 이름들을 개발 중에 있다고 한다. 아직은 개념증명의 개발 단계 수준이라 정확한 서비스가 어떤 형태로 나타날지는 예상하기 힘들다.

3줄 요약
1. 8개의 보안 취약점 해결된 파이어폭스 77 출시됨.
2. 파이어폭스를 기반으로 한 토르 브라우저도 역시 패치됨.
3. 고위험군 취약점이 5개 해결되었기 때문에 브라우저 업그레이드가 권장됨.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)