firefox-102.14.0-1.el8.ML.1

エラータID: AXSA:2023-6318:29

リリース日: 
2023/08/10 Thursday - 00:39
題名: 
firefox-102.14.0-1.el8.ML.1
影響のあるチャネル: 
Asianux Server 8 for x86_64
Severity: 
High
Description: 

以下項目について対処しました。

[Security Fix]
- Firefox および Thunderbird のオフスクリーンキャンバス
機能には、オリジン間の汚染を正しく追跡できない問題が
あるため、リモートの攻撃者により、同一オリジンのポリシー
を迂回し、他のサイトからの画像の引用を可能とする脆弱性
が存在します。(CVE-2023-4045)

- Firefox および Thunderbird の WASM JIT 解析処理には、
古いグローバル変数を解析に利用してしまう問題があるため、
リモートの攻撃者により、解析処理を失敗させることを介して、
サービス拒否攻撃 (クラッシュの発生) を可能とする脆弱性が
存在します。(CVE-2023-4046)

- Firefox および Thunderbird には、ポップアップ通知の遅延
時間の計算処理に問題があるため、リモートの攻撃者により、
ユーザーの誤誘導を介して、不正な権限の付与を可能とする
脆弱性が存在します。(CVE-2023-4047)

- Firefox および Thunderbird には、利用可能なメモリ量が
少ない状況下でのメモリ領域の範囲外読み取りの問題がある
ため、リモートの攻撃者により、DOMParser を用いた HTML
の解析を介して、サービス拒否攻撃 (クラッシュの発生) を
可能とする脆弱性が存在します。(CVE-2023-4048)

- Firefox および Thunderbird には、参照カウンタのレース
コンディションに起因したメモリ領域の解放後利用の問題
があるため、リモートの攻撃者により、サービス拒否攻撃
(クラッシュの発生) などを可能とする脆弱性が存在します。
(CVE-2023-4049)

- Firefox および Thunderbird には、バッファ領域のサイズの
チェック処理が欠落しているため、リモートの攻撃者により、
細工された入力ストリームを介して、サービス拒否攻撃
(クラッシュの発生) やこれを用いたサンドボックス機能の
迂回を可能とする脆弱性が存在します。(CVE-2023-4050)

- Firefox および Thunderbird には、"document.cookie"
パラメーターで指定されるドメインごとのクッキー数の上限
を超過した場合、送信される実際の Cookie jar とサイト側が
想定している Cookie jar の状態に不整合を生じる問題がある
ため、リモートの攻撃者により、一部のクッキーが欠落した
状態でのリクエストの送信を可能とする脆弱性が存在します。
(CVE-2023-4055)

- Firefox および Thunderbird には、メモリ破壊の問題がある
ため、リモートの攻撃者により、任意のコードの実行を可能
とする脆弱性が存在します。(CVE-2023-4056)

- Firefox および Thunderbrid には、メモリ破壊の問題がある
ため、リモートの攻撃者により、任意のコードの実行を可能
とする脆弱性が存在します。(CVE-2023-4057)

解決策: 

パッケージをアップデートしてください。

追加情報: 

N/A

ダウンロード: 

SRPMS
  1. firefox-102.14.0-1.el8.ML.1.src.rpm
    MD5: 3326f566b7cee873cfe3d77aa41cd5a1
    SHA-256: b9750a1656fba9db5ed6e6a031ff5c0f88993f478f5ccfe263ad12c8ff2dddf6
    Size: 594.94 MB

Asianux Server 8 for x86_64
  1. firefox-102.14.0-1.el8.ML.1.x86_64.rpm
    MD5: a9f1523af874b666c06f360daa971a69
    SHA-256: a1ae00a079ca393206163d786de62a0c9de2250a737606777f2331bbe7281b19
    Size: 109.45 MB