firefox-102.11.0-2.el9.ML.1

エラータID: AXSA:2023-6024:19

リリース日: 
2023/06/14 Wednesday - 03:09
題名: 
firefox-102.11.0-2.el9.ML.1
影響のあるチャネル: 
MIRACLE LINUX 9 for x86_64
Severity: 
High
Description: 

以下項目について対処しました。

[Security Fix]
- Firefox および Thunderbird には、ポップアップの表示によって
アドレスバーを隠せてしまう問題があるため、リモートの攻撃者
により、細工されたコンテンツを介して、利用者を誤誘導し意図
しない操作をさせることを可能とする脆弱性が存在します。
(CVE-2023-32205)

- Firefox および Thunderbird の RLBox Expat ドライバーには、
メモリ領域の範囲外読み取りの問題があるため、リモートの攻撃者
により、クラッシュの発生とこれに起因するサービス拒否攻撃を
可能とする脆弱性が存在します。(CVE-2023-32206)

- Firefox および Thunderbird には、ポップアップ通知が遅れて表示
されてしまうことを利用したクリックジャッキングの問題がある
ため、リモートの攻撃者により、利用者を誤誘導し不正な権限を
付与させることを可能とする脆弱性が存在します。
(CVE-2023-32207)

- Firefox および Thunderbird には、型のチェック処理の不備に
起因して不正なコードがコンパイルされてしまう問題があるため、
リモートの攻撃者により、クラッシュの発生とこれに起因する
サービス拒否攻撃を可能とする脆弱性が存在します。
(CVE-2023-32211)

- Firefox および Thunderbird には、datalist タグ
によってアドレスバーを隠せてしまう問題があるため、リモート
の攻撃者により、細工された Web ページを介して、利用者を
誤誘導することを可能とする脆弱性が存在します。
(CVE-2023-32212)

- Firefox および Thunderbird の FileReader::DoReadData() メソッド
には、ファイルの読み込み時に初期化されていない値が読み込み
制限値として適用されてしまう問題があるため、リモートの攻撃者
により、メモリ破壊を可能とする脆弱性が存在します。
(CVE-2023-32213)

- Firefox および Thunderbird には、メモリ領域の境界のチェック
処理が漏れているため、リモートの攻撃者により、メモリ破壊や
任意のコードの実行を可能とする脆弱性が存在します。
(CVE-2023-32215)

解決策: 

パッケージをアップデートしてください。

CVE: 
CVE-2023-32205
In multiple cases browser prompts could have been obscured by popups controlled by content. These could have led to potential user confusion and spoofing attacks. This vulnerability affects Firefox < 113, Firefox ESR < 102.11, and Thunderbird < 102.11.
CVE-2023-32206
An out-of-bound read could have led to a crash in the RLBox Expat driver. This vulnerability affects Firefox < 113, Firefox ESR < 102.11, and Thunderbird < 102.11.
CVE-2023-32207
A missing delay in popup notifications could have made it possible for an attacker to trick a user into granting permissions. This vulnerability affects Firefox < 113, Firefox ESR < 102.11, and Thunderbird < 102.11.
CVE-2023-32211
A type checking bug would have led to invalid code being compiled. This vulnerability affects Firefox < 113, Firefox ESR < 102.11, and Thunderbird < 102.11.
CVE-2023-32212
An attacker could have positioned a datalist element to obscure the address bar. This vulnerability affects Firefox < 113, Firefox ESR < 102.11, and Thunderbird < 102.11.
CVE-2023-32213
When reading a file, an uninitialized value could have been used as read limit. This vulnerability affects Firefox < 113, Firefox ESR < 102.11, and Thunderbird < 102.11.
CVE-2023-32215
Memory safety bugs present in Firefox 112 and Firefox ESR 102.10. Some of these bugs showed evidence of memory corruption and we presume that with enough effort some of these could have been exploited to run arbitrary code. This vulnerability affects Firefox < 113, Firefox ESR < 102.11, and Thunderbird < 102.11.
追加情報: 

N/A

ダウンロード: 

SRPMS
  1. firefox-102.11.0-2.el9.ML.1.src.rpm
    MD5: f816c10f55e20a50c8089665b8718bf2
    SHA-256: 9633aa4492df5aeb6611dcafebc1f6ec9f11e1dac56d88c11fa0f9512f502119
    Size: 594.97 MB

Asianux Server 9 for x86_64
  1. firefox-102.11.0-2.el9.ML.1.x86_64.rpm
    MD5: 2b38e834b123ecb85dd74320fab7f6d3
    SHA-256: fd047ec34afaf1260e2a2225abc83e2f62084b15e77bcb4b8b17df2446ab1962
    Size: 107.03 MB
  2. firefox-x11-102.11.0-2.el9.ML.1.x86_64.rpm
    MD5: 7ea24b6ded75e6d33907fe78449f0464
    SHA-256: 112cc43b9df1b081bad5d7f4ffd5b99910cabf7470209391bbb5751fa704ce51
    Size: 14.08 kB