firefox-102.11.0-2.el8.ML.1

エラータID: AXSA:2023-6148:22

リリース日: 
2023/06/28 Wednesday - 00:55
題名: 
firefox-102.11.0-2.el8.ML.1
影響のあるチャネル: 
Asianux Server 8 for x86_64
Severity: 
High
Description: 

以下項目について対処しました。

[Security Fix]
- Firefox および Thunderbird には、ポップアップの表示によって
アドレスバーを隠せてしまう問題があるため、リモートの攻撃者
により、細工されたコンテンツを介して、利用者を誤誘導し意図
しない操作をさせることを可能とする脆弱性が存在します。
(CVE-2023-32205)

- Firefox および Thunderbird の RLBox Expat ドライバーには、
メモリ領域の範囲外読み取りの問題があるため、リモートの攻撃者
により、クラッシュの発生とこれに起因するサービス拒否攻撃を
可能とする脆弱性が存在します。(CVE-2023-32206)

- Firefox および Thunderbird には、ポップアップ通知が遅れて
表示されてしまうことを利用したクリックジャッキングの問題
があるため、リモートの攻撃者により、利用者を誤誘導し不正な
権限を付与させることを可能とする脆弱性が存在します。
(CVE-2023-32207)

- Firefox および Thunderbird には、型のチェック処理の不備に
起因して不正なコードがコンパイルされてしまう問題があるため、
リモートの攻撃者により、クラッシュの発生とこれに起因する
サービス拒否攻撃を可能とする脆弱性が存在します。
(CVE-2023-32211)

- Firefox および Thunderbird には、datalist タグに
よってアドレスバーを隠せてしまう問題があるため、リモートの
攻撃者により、細工された Web ページを介して、利用者を誤誘導
することを可能とする脆弱性が存在します。(CVE-2023-32212)

- Firefox および Thunderbird の FileReader::DoReadData() メソッド
には、ファイルの読み込み時に初期化されていない値が読み込み
制限値として適用されてしまう問題があるため、リモートの攻撃者
により、メモリ破壊を可能とする脆弱性が存在します。
(CVE-2023-32213)

- Firefox および Thunderbird には、メモリ領域の境界のチェック
処理が漏れているため、リモートの攻撃者により、メモリ破壊や
任意のコードの実行を可能とする脆弱性が存在します。
(CVE-2023-32215)

解決策: 

パッケージをアップデートしてください。

CVE: 
CVE-2023-32205
In multiple cases browser prompts could have been obscured by popups controlled by content. These could have led to potential user confusion and spoofing attacks. This vulnerability affects Firefox < 113, Firefox ESR < 102.11, and Thunderbird < 102.11.
CVE-2023-32206
An out-of-bound read could have led to a crash in the RLBox Expat driver. This vulnerability affects Firefox < 113, Firefox ESR < 102.11, and Thunderbird < 102.11.
CVE-2023-32207
A missing delay in popup notifications could have made it possible for an attacker to trick a user into granting permissions. This vulnerability affects Firefox < 113, Firefox ESR < 102.11, and Thunderbird < 102.11.
CVE-2023-32211
A type checking bug would have led to invalid code being compiled. This vulnerability affects Firefox < 113, Firefox ESR < 102.11, and Thunderbird < 102.11.
CVE-2023-32212
An attacker could have positioned a datalist element to obscure the address bar. This vulnerability affects Firefox < 113, Firefox ESR < 102.11, and Thunderbird < 102.11.
CVE-2023-32213
When reading a file, an uninitialized value could have been used as read limit. This vulnerability affects Firefox < 113, Firefox ESR < 102.11, and Thunderbird < 102.11.
CVE-2023-32215
Memory safety bugs present in Firefox 112 and Firefox ESR 102.10. Some of these bugs showed evidence of memory corruption and we presume that with enough effort some of these could have been exploited to run arbitrary code. This vulnerability affects Firefox < 113, Firefox ESR < 102.11, and Thunderbird < 102.11.
追加情報: 

N/A

ダウンロード: 

SRPMS
  1. firefox-102.11.0-2.el8.ML.1.src.rpm
    MD5: ebd0ca9d83bc260f39d3c214345e67ca
    SHA-256: 8b4f4926c1eb76849a17d81d704ab63020769a4e2a61c11c13e1f264e2f9e11a
    Size: 594.98 MB

Asianux Server 8 for x86_64
  1. firefox-102.11.0-2.el8.ML.1.x86_64.rpm
    MD5: 6344c8e9c61053127e1a15f033e64527
    SHA-256: 70e06705f4725c9d8a4743401b84c3c2b0a583a8e152c454e8bda42090bcfd96
    Size: 109.40 MB