[KRCERT]Mozilla 제품 보안 업데이트 권고

내용 요약

Mozilla는 Firefox 브라우저의 보안 취약점 두 건을 수정한 업데이트(139.0.4)를 발표했습니다. 취약점은 캔버스 작업으로 인한 메모리 손상(CVE-2025-49709)과 JavaScript 엔진의 OrderedHashTable 처리 과정 중 정수 오버플로우(CVE-2025-49710)입니다. 영향받는 버전의 사용자는 즉시 업데이트해야 합니다.

핵심 포인트

• Firefox의 두 가지 심각한 보안 취약점 발견 및 패치 완료
• 캔버스 관련 메모리 손상 취약점(CVE-2025-49709)은 공격자가 악성코드 실행 가능성 존재
• JavaScript 엔진의 정수 오버플로우 취약점(CVE-2025-49710) 또한 악용 시 시스템 제어권 탈취 가능성 존재
• Firefox 139.0.4 버전으로 즉시 업데이트 필요

기술 세부 내용

1️⃣ CVE-2025-49709: Canvas Memory Corruption

• 설명: 특정 캔버스 작업 중 메모리 손상이 발생하는 취약점입니다. Canvas는 웹 페이지에 그래픽을 그리는 HTML 요소인데, 이 취약점을 악용하면 공격자가 악성 코드를 실행하여 시스템에 침투할 수 있습니다. ️
• 영향: Firefox 139.0.4 미만 버전
• 해결: Firefox 139.0.4 버전으로 업데이트

2️⃣ CVE-2025-49710: JavaScript Engine Integer Overflow

• 설명: Firefox의 JavaScript 엔진에서 사용되는 OrderedHashTable을 처리하는 과정에서 정수 오버플로우가 발생하는 취약점입니다. OrderedHashTable은 JavaScript 객체의 속성을 저장하는 데 사용되는 자료구조입니다. 이 취약점을 악용하면 공격자가 시스템의 제어권을 탈취할 수 있습니다. ⚙️
• 영향: Firefox 139.0.4 미만 버전
• 해결: Firefox 139.0.4 버전으로 업데이트

 

출처: https://knvd.krcert.or.kr/detailSecNo.do?IDX=6500