콘텐츠로 이동

Firefox 메모리 안전 패치 점검

Firefox 메모리 안전 패치 점검 thumbnail
2026-04-21 Mozilla는 Firefox 150 보안 권고를 공개했다. DOM, WebRTC, WebCodecs, Canvas2D, WebRender, JavaScript Engine, WebAssembly 경로가 한 번들로 묶였고, 6784~6786 같은 roll-up memory safety 항목도 함께 정리됐다. 같은 날짜의 번들은 Thund...
2026-04-29 # security

요약

2026-04-21 Mozilla는 Firefox 150 보안 권고를 공개했다. DOM, WebRTC, WebCodecs, Canvas2D, WebRender, JavaScript Engine, WebAssembly 경로가 한 번들로 묶였고, 6784~6786 같은 roll-up memory safety 항목도 함께 정리됐다. 같은 날짜의 번들은 Thunderbird 150과 Thunderbird ESR 140.10에도 적용됐다. 2026-04-28에는 Firefox 150.0.1, Firefox ESR 115.35.1, Firefox ESR 140.10.1이 추가로 나와 7320~7324 계열을 닫았다. Mozilla는 memory corruption evidence와 possible arbitrary code execution 가능성까지는 적었지만, 완성된 exploit chain은 공개하지 않았다.

패치 기준

릴리스 공개일 핵심 CVE 기준 근거
Firefox 150 2026-04-21 6746, 6747, 6748, 6749, 6750, 6751, 6752, 6753, 6754, 6757, 6758, 6784, 6785, 6786 Firefox 150 이상 Mozilla 보안 권고
Firefox 150.0.1 2026-04-28 7320, 7322, 7323, 7324 Firefox 150.0.1 이상 Mozilla 보안 권고
Firefox ESR 115.35.1 2026-04-28 7320, 7322 Firefox ESR 115.35.1 이상 Mozilla 보안 권고
Firefox ESR 140.10.1 2026-04-28 7320, 7321, 7322, 7323 Firefox ESR 140.10.1 이상 Mozilla 보안 권고

적용 기준

아래 표는 Mozilla가 공개 권고문에 직접 적은 버전만 기준으로 잡았다. 중간 빌드나 재배포본은 공개 자료에서 확인되지 않으면 여기서 확정하지 않는다.

Thunderbird 150과 Thunderbird ESR 140.10도 같은 2026-04-21 번들에 포함됐다. Mozilla는 메일 읽기 경로에서는 scripting이 꺼져 있어 email 경로의 직접 악용 가능성은 낮게 보지만, browser 또는 browser-like context에서는 위험하다고 적었다.

취약점 범위

그룹 대표 CVE 공개 메커니즘 근거
DOM / JavaScript / WebAssembly 6746, 6754, 6757, 6758 use-after-free, invalid pointer Mozilla 보안 권고
WebRTC / Media 6747, 6748, 6751, 6752, 6753 use-after-free, boundary conditions, uninitialized memory Mozilla 보안 권고
Graphics 6749, 6750 uninitialized memory, privilege escalation Mozilla 보안 권고
Roll-up 6784, 6785, 6786, 7320, 7321, 7322, 7323, 7324 memory safety, information disclosure 계열 묶음 항목 Mozilla 보안 권고

네트워크

고정 URL보다 브라우저 콘텐츠 트리거를 본다. WebRTC, WebCodecs, Canvas2D, WebAssembly 경로를 타는 일반 페이지 로드처럼 보이기 쉽다. 이 판단은 공개 advisory를 바탕으로 한 운영상 추정이다.

엔드포인트

가장 값이 높은 흔적은 crash와 그 뒤의 프로세스 체인이다. Firefox와 Thunderbird의 파일 버전, 설치 위치, 프로필 하위 잔존본을 함께 맞춘다.

$paths = @(
  "C:\Program Files\Mozilla Firefox\firefox.exe",
  "C:\Program Files (x86)\Mozilla Firefox\firefox.exe"
)

foreach ($path in $paths) {
  if (Test-Path $path) {
    Get-Item $path | Select-Object FullName, @{n='ProductVersion';e={$_.VersionInfo.ProductVersion}}, @{n='FileVersion';e={$_.VersionInfo.FileVersion}}
  }
}

SELECT
  name,
  version,
  install_location
FROM programs
WHERE lower(name) LIKE '%firefox%'
   OR lower(name) LIKE '%thunderbird%';

서버

패키지 채널과 이미지 버전이 늦으면 150.0.0, 115.35.0, 140.10.0 같은 잔존 버전이 남는다. 릴리스별 기준선만 비교해도 누락을 크게 줄일 수 있다.

command -v firefox >/dev/null 2>&1 && firefox --version || true
command -v thunderbird >/dev/null 2>&1 && thunderbird --version || true

대응

  • Firefox Release는 150.0.1 이상으로 맞춘다.
  • Firefox ESR 115는 115.35.1 이상, ESR 140은 140.10.1 이상으로 맞춘다.
  • Thunderbird 150과 Thunderbird ESR 140.10도 같은 2026-04-21 번들을 적용했는지 확인한다.
  • VDI, RDS, 테스트 브라우저, 개발자 워크스테이션의 이미지 버전을 따로 본다.
  • 2026-04-21 이후 구간에서 crash 급증, child process 생성, 임시 경로 실행 파일 생성을 묶어 본다.

참고 자료