Engineer/Security Vulnerability

Mozilla 보안 취약점 업데이트 권고 (2023-01-19) CVE-2023-23597

mkdir.chandler 2023. 1. 22. 00:00

Mozilla (Fiirebox) Security Vulnerability (2023-01-19) Update to 109 / 102.7

CVE-2022-46871  /  CVE-2023-23597  /  CVE-2023-23598  /  CVE-2023-23605  /  CVE-2023-23606




KISA 보안 취약점 공지 바로 가기

많이들 사용하는 브라우저 중 하나인 Mozilla (firefox) 의 보안 취약점에 따른 업데이트 공지가 공개되었습니다. 해당 보안 취약점은 상당히 많은 내용에 대한 보안 패치가 이루어 졌는데요, firefox 109 버전 혹은 firefox ESR 102.7 이전 버전을 사용하고 있을 경우 꼭 최신 버전으로 업데이트를 권고 하고 있으니 참고하시기 바랍니다.



■ 취약점 내용

  • Firefox 및 Firefox ESR에서 발생하는 임의 파일 읽기 취약점 (2건)
  • Firefox 및 Firefox ESR에서 명령어 삽입 취약점으로 인해 발생하는 임의 명령어 실행 취약점 (1건)
  • Android용 Firefox에서 일반 브라우징과 비공개 브라우징 간 알림 표시 취약점 (1건)
  • Firefox 및 Firefox ESR에서 발생하는 웹 사이트 스푸핑 취약점 (3건)
  • Firefox 및 Firefox ESR에서 발생하는 정보 유출 취약점 (1건)
  • Firefox에서 부적절한 문서 구문 분석으로 인해 발생하는 검사 우회 취약점 (1건)
  • Firefox 및 Firefox ESR에서 발생하는 원격 코드 실행 취약점 (2건)
  • Firefox ESR에서 오래된 라이브러리(libusrsctp) 악용 가능 취약점 (1건)

Mozilla 공식 페이지를 방문하면 해당 보안 취약점 조치 사항에 대한 상세 내용을 확인할 수 있습니다. 관심 있는 분들은 방문해서 확인해 보시기 바랍니다. 이번 보안 취약점 (CVE) 을 따로 정리하기에는 양이 많아서(?) 간략하게 제목에도 적혀 있는 내용만 정리하면 다음과 같습니다. (High 등급만 추렸습니다.)


■ CVE-2022-46871

An out of date library (libusrsctp) contained vulnerabilities that could potentially be exploited.


■ CVE-2023-23597

A compromised web child process could disable web security opening restrictions, leading to a new child process being spawned within the file:// context. Given a reliable exploit primitive, this new process could be exploited again leading to arbitrary file read.


■ CVE-2023-23598

Due to the Firefox GTK wrapper code's use of text/plain for drag data and GTK treating all text/plain MIMEs containing file URLs as being dragged a website could arbitrarily read a file via a call to DataTransfer.setData.


■ CVE-2023-23605

Mozilla developers and the Mozilla Fuzzing Team reported memory safety bugs present in Firefox 108 and Firefox ESR 102.6. Some of these bugs showed evidence of memory corruption and we presume that with enough effort some of these could have been exploited to run arbitrary code.


■ CVE-2023-23606

Mozilla developers and the Mozilla Fuzzing Team reported memory safety bugs present in Firefox 108. Some of these bugs showed evidence of memory corruption and we presume that with enough effort some of these could have been exploited to run arbitrary code.




by mkdir-chandler





