임의 명령 실행까지 이어질 수 있는 제로데이 취약점 2개 해결한 모질라

요약 : 모질라(Mozilla)가 파이어폭스 97.0.2 버전을 발표했다. 그와 함께 파이어폭스 ESR 91.6.1, 파이어폭스 안드로이드 97.3.0, 포커스(Focus) 97.3.0도 함께 발표했다. 전부 다 현재 활발하게 익스플로잇 되고 있는 제로데이 취약점 두 개를 해결한 버전들이다. 문제의 제로데이 취약점들은 전부 UaF의 일종이고, 프로그램 크래시(강제 종료)와 임의 명령 실행 공격을 가능케 한다고 알려져 있다.


배경 : 이번에 해결된 제로데이 취약점은 CVE-2022-26485와 CVE-2022-26486이다. 전자는 XSLT 매개변수에서 발견됐고, 후자는 WebGPU IPC Framework에서 발견됐다. 해커들이 먼저 발견하여 익스플로잇 하고 있었다고 모질라 측은 밝혔지만, 공격의 세부 사항에 대해서는 함구하고 있다. 중국의 보안 업체 치후360(Qihoo 360)이 모질라에 제보했다고 한다.

말말말 : “파이어폭스 브라우저의 메뉴 항목에서 도움말을 선택한 후 ‘파이어폭스에 관하여’를 클릭하면 브라우저를 최신화시킬 수 있습니다.” -모질라-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>