모질라의 ‘파이어폭스·파이어폭스 ESR·포커스·선더버드’에 영향 미치는 취약점 발견
인증 우회 취약점, Use-After-Free 취약점, 스푸핑 취약점...신속한 보안 업데이트 필요

[보안뉴스 박은주 기자] 파이어폭스 개발사 모질라(Mozilla)가 제공하는 브라우저 및 소프트웨어에 영향을 주는 취약점이 발견됐다. 파이어폭스(Firefox)·파이어폭스 ESR·포커스(Focus) 브라우저와 이메일 관리 소프트웨어 선더버드(Thunderbird)를 이용하는 사용자에게 신속한 보안 업데이트가 권장된다.


[로고=모질라]

발견된 취약점은 총 3건으로 다음과 같다.
△CVE-2024-4768
△CVE-2024-4770
△CVE-2024-5022

CVE-2024-5022은 인증 우회 취약점으로 클릭재킹(Clickjacking)을 통해 공격자에게 권한을 부여하도록 유인한다. 투명 레이어나 가짜 UI 버튼을 브라우저에 삽입해 클릭을 유도하는 방식이다. 사용자는 인지하지 못한 채 비인가자에게 권한을 허용하게 된다. 인증을 우회한 공격자는 시스템에 접근해 악의적인 행위를 수행할 수 있다. 모질라 측은 팝업 알림과 로그인 인증 기술(WebAuthn) 사이 상호작용 과정에서 오류가 발생했다고 설명했다.

CVE-2024-4770은 Use-After-Free 취약점으로 사용자가 페이지를 PDF로 저장할 때 문제가 발생한다. 특정 글꼴을 사용할 때 프로그램과 충돌이 생겨 메모리 관리 오류가 발생하는 것이다. 취약점이 악용될 경우 해제된 메모리 영역에 접근할 수 있게 되고, 프로그램이 비정상적으로 종료되거나 임의 값이 출력될 수 있는 위험이 있다. 위 2가지 취약점은 파이어폭스·파이어폭스 ESR·선더버드에 영향을 미친다.

CVE-2024-5022은 IOS용 포커스에 영향을 미치는 스푸핑 취약점이다. 안전하지 않은 웹 사이트를 신뢰 사이트처럼 속여 악성 행위를 감행할 수 있다. 모질라는 각 취약점을 해결한 보안 업데이트를 발표했다. 위 취약점에 영향을 받는 제품 버전과 해결 버전은 다음 표와 같다.


▲취약점에 영향받는 제품 및 해결 방안[표=KISA]

파이어폭스 등 모질라가 제공하는 브라우저는 세계 여러 나라에서 사용하는 인기 있는 브라우저 중 하나다. 취약점이 많은 사용자에게 영향을 끼칠 수 있는 만큼 신속한 보안 업데이트가 요구된다.
[박은주 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>