CVE-2018-5124가 붙은 이 취약점은 Firefox 버전 56에서 58까지 영향을 미치지만, 안드로이드용 Firefox 및 Firefox 52 ESR은 영향받지 않는다고 한다. 주요 리눅스 배포판의 개발팀 또한 해당 취약점을 패치한 업데이트 패키지를 출시하기 시작했다.
Cisco(시스코)가 발표한 보안 권고에 따르면, Firefox 58.0.1 버전에서는 크롬 권한 문서(chrome-privileged documents, 브라우저 UI)에서 HTML fragment의 불충분한 검사로 인한 임의 코드 실행 결함이 수정됐다. 보안 권고는 “Mozilla Firefox의 취약점으로 인해 인증되지 않은 원격 공격자가 타깃 시스템에서 임의 코드를 실행할 수 있었다”라고 설명한다.
또 “이 취약점은 영향을 받는 소프트웨어가 크롬 권한 문서에서 HTML fragment를 충분히 검사하지 않아서 발생한다. 공격자는 사용자가 악의적인 링크나 파일에 액세스 하도록 유도하여 취약점을 익스플로잇할 수 있다. 성공적인 익스플로잇은 공격자로 하여금 사용자의 권한으로 임의 코드를 실행할 수 있도록 한다. 만약 사용자가 상승된 권한을 가지고 있다면, 공격자는 시스템을 완전히 손상시킬 수 있다”고 덧붙였다.
Firefox 58 버전은 1월 23일에 발표되었고, 30건 이상의 취약점이 패치됐다. 이 중에는 Use-After-Free, 버퍼오버플로우, 정수 오버플로우 결함 등 높은 빈도로 사용되는 취약점들이 포함되어 있다. Mozilla에 따르면 당사 버그바운티 프로그램을 통해 이미 약 1백만 달러가 상금으로 지급되었다고 한다.
★정보보안 대표 미디어 데일리시큐!★
