firefox-3.6.13-2.0.1.AXS3, xulrunner-1.9.2.13-3.0.1.AXS3

エラータID: AXSA:2010-507:08

リリース日: 
2010/12/14 Tuesday - 20:57
題名: 
firefox-3.6.13-2.0.1.AXS3, xulrunner-1.9.2.13-3.0.1.AXS3
影響のあるチャネル: 
Asianux Server 3 for x86
Asianux Server 3 for x86_64
Severity: 
High
Description: 

以下項目について対処しました。

[Security Fix]
- Mozilla Firefox と Seamonkey には開放後使用脆弱性が存在し, nsDOMAttribute ノードを変更することによって, リモートの攻撃者が任意のコードを実行する脆弱性があります。(CVE-2010-3766)

- Mozilla Firefox と Seamonkey の NewIdArray 関数には整数オーバーフローが存在し, 多くの要素を持った JavaScript の配列によって, リモートの攻撃者が任意のコードを実行する脆弱性があります。(CVE-2010-3767)

- Mozilla Firefox と Seamonkey は OSのフォント実装で使用する前にダウンロード可能なフォントを適切に検証しておらず, @font-face CSS ルールによって, リモートの攻撃者が任意のコードを実行する脆弱性があります。(CVE-2010-3768)

- Mozilla Firefox のレンダリングエンジンにはクロスサイトスクリプティング (XSS) 脆弱性が存在し, (1) x-mac-arabic, (2) x-mac-farsi, (3) x-mac-hebrew 文字エンコーディングによって, リモートの攻撃者が任意のWEB スクリプトあるいは HTML を注入する脆弱性があります。(CVE-2010-3770)

- Mozilla Firefox と SeaMonkey には about:blank page への ISINDEX 要素の注入を適切に扱うことができず, chrome: URI へのリダイレクションによって, リモートの攻撃者が chrome 権限を持った任意の JavaScript コードを実行することができる脆弱性があります。(CVE-2010-3771)

- Mozilla Firefox と SeaMonkey は, XUL ツリーのある子コンテンツのインデックス値を適切に計算することができず, treechirdren 要素内の DIV 要素によって, リモートの攻撃者が任意のコードを実行することができる脆弱性があります。(CVE-2010-3772)

- Mozilla Firefox と SeaMonkey は Firebug のアドオンの XMLHttpRequestSpy モジュールを使用している場合, 適切にXMLHttpRequestSpy オブジェクトと chrome 権限のあるオブジェクト間のやりとりを扱うことができず, 巧妙に細工した HTTP 応答によって, リモートの攻撃者が任意の JavaScript を実行することのできる脆弱性があります。
なお, この脆弱性は CVE-2010-0179 の不完全な修正によって生じたものです。
(CVE-2010-3773)

- Mozilla Firefox と SeaMonkey の NS_SecurityCompareURIs 関数は, 適切に (1) about:neterror と (2) about:certerror ページを扱うことができず, 巧妙に細工した WEB サイトによって, リモートの攻撃者がロケーションバーを偽ることのできる脆弱性があります。(CVE-2010-3774)

- Mozilla Firefox と SeaMonkey は適切に data: URLs と Java LiveConnect スクリプトを含むリダイレクションを扱うことができず, META 要素の http-equiv 属性の reflesh 値によって, リモートの攻撃者がプロセスを開始したり, 任意のローカルファイルや, ネットワークの接続を確立したりすることができる脆弱性があります。(CVE-2010-3775)

- Mozilla Firefox と SeaMonkey には複数の不明な脆弱性があり, リモートの攻撃者がサービス拒否 (メモリ破壊やアプリケーションのクラッシュ) を引き起こしたり, 任意のコードを実行する可能性のある脆弱性があります。(CVE-2010-3776)

- Mozilla Firefox には 不明な脆弱性が存在し, リモートの攻撃者がサービス拒否 (メモリ破壊やアプリケーションのクラッシュ) あるいは任意のコードを実行する可能性のある脆弱性があります。(CVE-2010-3777)

一部CVEの翻訳文はJVNからの引用になります。
http://jvndb.jvn.jp/

解決策: 

パッケージをアップデートしてください。

追加情報: 

N/A

ダウンロード: 

SRPMS
  1. firefox-3.6.13-2.0.1.AXS3.src.rpm
    MD5: 73a2ea891c483d6a4600adc5b29d4cf9
    SHA-256: 1dc3cff2ab02bba88ba027bdd6d2264db537080950841af44f7309746532e23c
    Size: 57.95 MB
  2. xulrunner-1.9.2.13-3.0.1.AXS3.src.rpm
    MD5: c688bd8f3386e530de041c9342c40753
    SHA-256: dfd3f2247b8d93cbf60f604454aac2ae7e26e0a888efbfdcd00ae5dad45e86ec
    Size: 48.82 MB

Asianux Server 3 for x86
  1. firefox-3.6.13-2.0.1.AXS3.i386.rpm
    MD5: 8d9dde06dd669f39931b97a8e0f1db41
    SHA-256: e23de5397bbb487808105ced6441c52c86f8c6292052fcbeb6ba796f0de245f4
    Size: 14.49 MB
  2. xulrunner-1.9.2.13-3.0.1.AXS3.i386.rpm
    MD5: b0f49609776f77156fe2725ab33c07f5
    SHA-256: c041e73e495021350b46628da6484eb111cd352341952fab50f76ef0bb5a1912
    Size: 11.63 MB

Asianux Server 3 for x86_64
  1. firefox-3.6.13-2.0.1.AXS3.x86_64.rpm
    MD5: 97eb2e10e82f30b87ba014772b327076
    SHA-256: 3ce0194bfa507fe2cb9094eec428e46de8bc5257a06cbddb7ed8577486a21c7e
    Size: 14.48 MB
  2. xulrunner-1.9.2.13-3.0.1.AXS3.x86_64.rpm
    MD5: 390e3d9f3cd9a2e1bde3f64635a31813
    SHA-256: b9fab9e256a345ed62d167df55430e5a894b7bd2414bf7c2ef243651c6aef0ab
    Size: 11.05 MB