firefox-91.4.0-1.el8.ML.1

エラータID: AXSA:2022-2971:02

リリース日: 
2022/01/16 Sunday - 12:52
題名: 
firefox-91.4.0-1.el8.ML.1
影響のあるチャネル: 
Asianux Server 8 for x86_64
Severity: 
High
Description: 

以下項目について対処しました。

[Security Fix]
- Firefox と Thunderbird には特定の環境下で非同期関数によってナビゲー
ションが失敗し、ターゲットの URL が公開される脆弱性があります。
(CVE-2021-43536)

- Firefox と Thunderbird には64bit 整数 から 32bit 整数へのサイズの誤っ
た型変換により、攻撃者がメモリ内のデータを破壊し、クラッシュする脆弱性
があります。(CVE-2021-43537)

- Firefox と Thunderbird には通知コードの競合を誤って使用することで、
攻撃者はスプーフィング攻撃に使用されるフルスクリーンアクセスとポインター
ロックアクセスを受け取ったページへの通知を強制的に隠すことが出来る脆弱
性があります。(CVE-2021-43538)

- Firefox と Thunderbird には、wasm インスタンスの呼び出し間でライブポ
インターの位置を正しく記録できず、呼び出し内で発生するガベージコレクショ
ンでライブポインターをトレースできないため、クラッシュに繋がる解放後使
用が発生する脆弱性があります。(CVE-2021-43539)

- Firefox と Thunderbird には外部プロトコルのプロトコルハンドラーを起
動した際、提供された URLにスペースが含まれていると正しくエスケープされ
ない脆弱性があります。(CVE-2021-43541)

- Firefox と Thunderbird には XMLHttpRequestを使用することで、攻撃者が
外部プロトコルをロードするエラーメッセージを調査することにより、インス
トールされているアプリケーションを特定できる脆弱性があります。
(CVE-2021-43542)

- Firefox と Thunderbird には、CSP サンドボックスのディレクティブを使っ
てロードされたドキュメントにコンテンツを追加で埋め込むことにより、サン
ドボックスのスクリプト制限を回避できる脆弱性があります。
(CVE-2021-43543)

- Firefox と Thunderbird には、ループ内で Location API を使用すると、
深刻なアプリケーションのハングアップやクラッシュが発生する脆弱性があり
ます。(CVE-2021-43545)

- Firefox と Thunderbird には、ズームされたネイティブのカーソルを使っ
て、ユーザーに対して以前のカーソルスプーフィング攻撃が再現できる脆弱性
があります。(CVE-2021-43546)

解決策: 

パッケージをアップデートしてください。

追加情報: 

N/A

ダウンロード: 

SRPMS
  1. firefox-91.4.0-1.el8.ML.1.src.rpm
    MD5: 042e78cda0c15515fb4efcc46a4079f2
    SHA-256: d72b766390956976e5b8d8ae4671e695ab5098ccd7b2f2abdbe23d9df12d874b
    Size: 495.66 MB

Asianux Server 8 for x86_64
  1. firefox-91.4.0-1.el8.ML.1.x86_64.rpm
    MD5: 7df78b5ad0b31d3588c62b8cdfcdf82b
    SHA-256: 69c5cca46a8f0ce6eb2155363092cb1c0e86fad65fc016b95c1b1787b8c37fbd
    Size: 105.97 MB