파이어폭스 3.5 자바스크립트 JIT 컴파일러 취약점
모질라 보안 블로그에서 파이어폭스 3.5 버전의 긴급 자바스크립트 취약점을 발표했습니다. (참조: Critical JavaScript vulnerability in Firefox 3.5) JIT 자바스크립트 컴파일러의 버그를 이용하여 임의의 코드를 원격에서 실행할 수 있습니다. 사용자가 악성 웹페이지에 접속하게 되면 공격 당할 수 있습니다.
임시로 자바스크립트 엔진의 JIT 기능을 꺼놓으시면 패치가 배포되기 전까지 공격을 막을 수 있습니다. 아래와 같이 설정하시면 됩니다.
- 브라우저 주소 창에 about:config 입력
- 필터 창에 jit 입력
- javascript.options.jit.content 설정을 더블클릭 하여 false로 변경
JIT를 끄게 되면 자바스크립트 수행 성능이 떨어집니다. 그러므로 패치된 이후에는 설정을 다시 더블 클릭해서 JIT를 활성화시켜 주시면 됩니다. 그리고 파이어폭스 브라우저를 안전 모드로 실행해도 JIT를 비활성화 할 수 있습니다.
익스플로잇은 milw0rm에 올라온 Firefox 3.5 Heap Spray Vulnerability 글을 참고하시기 바랍니다.
추가> 17일자로 3.5.1 버전 패치되었습니다.
by xeraph | 2009-07-17 22:54:52 | 권고문 | 트랙백 (1) | 덧글 (2)
트랙백 주소 : http://nchovy.kr/forum/2/article/465/trackback
Tracked from nchovy's me2DAY 2009-07-17 22:58:02
파이어폭스 3.5 자바스크립트 JIT 컴파일러 취약점, JIT를 임시로 비활성화하시길 권고합니다.
지금 이내용을 포스트하느건 좀 넌센스인듯...^^
FF 3.5.1 발표되었잖아요~ㅋ
제가 너무 늦었어요 ㅋㅋ