Mozilla, 파이어폭스의 윈도우 관리자 권한 부여 버그 수정해

Mozilla fixes Firefox bug letting you get Windows admin privileges

 

Mozilla가 ‘Mozilla Maintenance Service’에서 발견된 심각도 높은 권한 상승 취약점을 패치하는 업데이트를 공개했습니다.

 

Mozilla Maintenance Service는 Firefox와 Thunderbird의 서비스로 백그라운드에서 응용 프로그램이 업데이트 될 수 있도록 선택이 가능합니다.

 

Firefox 사용자가 이를 사용할 경우 웹 브라우저나 이메일 클라이언트를 업데이트하기 전 Windows UAC 대화 상자에서 '예'를 클릭하지 않아도 업데이트가 가능한 환경을 제공합니다.

 

Mozilla는 금일 Firefox 97을 출시해 CVE-2022-22753으로 등록된 권한 상승 보안 취약점을 수정했습니다.

 

공격자가 패치되지 않은 시스템에서 이 취약점을 악용하는데 성공할 경우 자신의 권한을 NT AUTHORITY\SYSTEM (Windows 시스템에서 가장 높은 권한 레벨)으로 승격시킬 수 있습니다.

 

Mozilla는 이와 관련하여 아래와 같이 설명했습니다.

 

"Maintenance(Updater) 서비스에 존재하는 Time-of-Check Time-of-Use 취약점이 악용될 경우 사용자가 임의 디렉터리에서 쓰기 권한을 부여할 수 있는 버그가 존재했습니다. 이를 악용할 경우 SYSTEM 접근으로 확대 가능했습니다.”

 

"이 취약점은 Windows용 Firefox에만 영향을 미칩니다. 다른 운영 체제는 영향을 받지 않습니다."

 

또한 Mozilla는 Firefox 97을 설치할 경우 Firefox 96, Firefox ESR 91.5에서 발견된 메모리 보안 취약점 다수를 해결할 수 있다고 밝혔습니다.

 

"이러한 취약점 중 일부는 메모리 충돌과 관련된 증거를 보여주었으며, 공격자가 충분한 노력을 기울일 경우 이를 악용하여 임의 코드를 실행 가능했을 것으로 추측됩니다.”

 

지난 12월, Mozilla는 플랫폼 간 NSS(Network Security Services) 암호화 라이브러리에 영향을 미치는 치명적인 메모리 충돌 버그 또한 수정했습니다.

 

취약한 Firefox 버전을 실행하는 시스템에서 이 취약점이 악용될 경우 힙 기반 버퍼 오버플로우로 이어질 수 있으며, 코드 실행 권한을 얻을 경우 임의 코드 실행, 보안소프트웨어 우회 등 다양한 공격이 가능했습니다.

 

 

 

 

출처:

https://www.bleepingcomputer.com/news/security/mozilla-fixes-firefox-bug-letting-you-get-windows-admin-privileges/

https://www.mozilla.org/en-US/security/advisories/mfsa2022-04/#CVE-2022-22753