thunderbird-91.4.0-2.el8.ML.1

エラータID: AXSA:2022-2970:01

リリース日: 
2022/01/16 Sunday - 04:53
題名: 
thunderbird-91.4.0-2.el8.ML.1
影響のあるチャネル: 
Asianux Server 8 for x86_64
Severity: 
High
Description: 

以下項目について対処しました。

[Security Fix]
- Thunderbird には作成領域で JavaScript を有効にしていた問題があり、
JavaScript を実行するコンテキストは作成領域で制限されており Chrome レ
ベルの特権を受けることはないものの、他の脆弱性を用いた攻撃をさらに進め
るための足掛かりとなる可能性のある脆弱性があります。(CVE-2021-43528)

- Firefox と Thunderbird には特定の環境下で非同期関数によってナビゲー
ションが失敗し、ターゲットの URL が公開される脆弱性があります。
(CVE-2021-43536)

- Firefox と Thunderbird には64bit 整数 から 32bit 整数へのサイズの誤っ
た型変換により、攻撃者がメモリ内のデータを破壊し、クラッシュする脆弱性
があります。(CVE-2021-43537)

- Firefox と Thunderbird には通知コードの競合を誤って使用することで、
攻撃者はスプーフィング攻撃に使用されるフルスクリーンアクセスとポインター
ロックアクセスを受け取ったページへの通知を強制的に隠すことが出来る脆弱
性があります。(CVE-2021-43538)

- Firefox と Thunderbird には、wasm インスタンスの呼び出し間でライブポ
インターの位置を正しく記録できず、呼び出し内で発生するガベージコレクショ
ンでライブポインターをトレースできないため、クラッシュに繋がる解放後使
用が発生する脆弱性があります。(CVE-2021-43539)

- Firefox と Thunderbird には外部プロトコルのプロトコルハンドラーを起
動した際、提供された URLにスペースが含まれていると正しくエスケープされ
ない脆弱性があります。(CVE-2021-43541)

- Firefox と Thunderbird には XMLHttpRequestを使用することで、攻撃者が
外部プロトコルをロードするエラーメッセージを調査することにより、インス
トールされているアプリケーションを特定できる脆弱性があります。
(CVE-2021-43542)

- Firefox と Thunderbird には、CSP サンドボックスのディレクティブを使っ
てロードされたドキュメントにコンテンツを追加で埋め込むことにより、サン
ドボックスのスクリプト制限を回避できる脆弱性があります。
(CVE-2021-43543)

- Firefox と Thunderbird には、ループ内で Location API を使用すると、
深刻なアプリケーションのハングアップやクラッシュが発生する脆弱性があり
ます。(CVE-2021-43545)

- Firefox と Thunderbird には、ズームされたネイティブのカーソルを使っ
て、ユーザーに対して以前のカーソルスプーフィング攻撃が再現できる脆弱性
があります。(CVE-2021-43546)

解決策: 

パッケージをアップデートしてください。

追加情報: 

N/A

ダウンロード: 

SRPMS
  1. thunderbird-91.4.0-2.el8.ML.1.src.rpm
    MD5: fc2d33984832036a1695d9a8fe9a98fa
    SHA-256: 69cde2ca2ecc5745a8d55f2ac21fe80caf172a0e8231d9e7e0153dae99d7c666
    Size: 511.30 MB

Asianux Server 8 for x86_64
  1. thunderbird-91.4.0-2.el8.ML.1.x86_64.rpm
    MD5: 1ce203580b3d61c5b05a77c75aa2c6e5
    SHA-256: 3c455b7c3bc5cc7bacbcbcd096df1e51515adb4d57b493c1832868d31f25bca2
    Size: 99.88 MB