firefox-115.5.0-1.0.1.el7.AXS7
エラータID: AXSA:2023-6587:43
以下項目について対処しました。
[Security Fix]
- Firefox および Thunderbird には、グラフィックカードのドライバー
とその設定の特定の組み合わせ条件下において、メモリ領域の範囲外
読み取りの問題があるため、リモートの攻撃者により、キャンパス
要素上に生成したイメージデータの漏洩を可能とする脆弱性が存在
します。(CVE-2023-6204)
- Firefox および Thunderbird の MessagePort::Entangled() メソッド
には、メモリ領域の解放後利用の問題があるため、リモートの攻撃者
により、サービス拒否攻撃 (クラッシュの発生) 可能とする脆弱性が
存在します。(CVE-2023-6205)
- Firefox および Thunderbird には、全画面表示を終了する際の
フェードアニメーションの時間が許可を求める際のプロンプト表示
におけるクリックジャッキング対策の遅延時間と同一になっている
問題があるため、リモートの攻撃者により、許可プロンプトが表示
される場所をクリックするように誤誘導させることを可能とする
脆弱性が存在します。(CVE-2023-6206)
- Firefox および Thunderbird の ReadableByteStreamQueueEntry::Buffer()
メソッドには、メモリ領域の解放後利用の問題があるため、リモート
の攻撃者により、情報の漏洩、およびサービス拒否攻撃を可能とする
脆弱性が存在します。(CVE-2023-6207)
- Firefox および Thunderbird の Selection API には、ページで選択した
テキストを誤って一時的なストレージであるプライマリセレクション
にコピーされてしまう問題があるため、リモートの攻撃者により、
情報の漏洩を可能とする脆弱性が存在します。(CVE-2023-6208)
- Firefox および Thunderbird には、連続する 3 つの '/' で始まる相対
指定の URL を誤って解析してしまう問題があるため、リモートの
攻撃者により、パストラバーサル攻撃を可能とする脆弱性が存在
します。(CVE-2023-6209)
- Firefox および Thunderbrid には、メモリ破壊の問題があるため、
リモートの攻撃者により、任意のコードの実行を可能とする脆弱性
が存在します。(CVE-2023-6212)
パッケージをアップデートしてください。
On some systems—depending on the graphics settings and drivers—it was possible to force an out-of-bounds read and leak memory data into the images created on the canvas element. This vulnerability affects Firefox < 120, Firefox ESR < 115.5.0, and Thunderbird < 115.5.
It was possible to cause the use of a MessagePort after it had already been freed, which could potentially have led to an exploitable crash. This vulnerability affects Firefox < 120, Firefox ESR < 115.5.0, and Thunderbird < 115.5.
The black fade animation when exiting fullscreen is roughly the length of the anti-clickjacking delay on permission prompts. It was possible to use this fact to surprise users by luring them to click where the permission grant button would be about to appear. This vulnerability affects Firefox < 120, Firefox ESR < 115.5.0, and Thunderbird < 115.5.
Ownership mismanagement led to a use-after-free in ReadableByteStreams This vulnerability affects Firefox < 120, Firefox ESR < 115.5.0, and Thunderbird < 115.5.
When using X11, text selected by the page using the Selection API was erroneously copied into the primary selection, a temporary storage not unlike the clipboard. *This bug only affects Firefox on X11. Other systems are unaffected.* This vulnerability affects Firefox < 120, Firefox ESR < 115.5.0, and Thunderbird < 115.5.
Relative URLs starting with three slashes were incorrectly parsed, and a path-traversal "/../" part in the path could be used to override the specified host. This could contribute to security problems in web sites. This vulnerability affects Firefox < 120, Firefox ESR < 115.5.0, and Thunderbird < 115.5.
Memory safety bugs present in Firefox 119, Firefox ESR 115.4, and Thunderbird 115.4. Some of these bugs showed evidence of memory corruption and we presume that with enough effort some of these could have been exploited to run arbitrary code. This vulnerability affects Firefox < 120, Firefox ESR < 115.5.0, and Thunderbird < 115.5.
N/A
SRPMS
- firefox-115.5.0-1.0.1.el7.AXS7.src.rpm
MD5: 5e875e75fd37ad4dda330b556ff9033a
SHA-256: 338cd39e846642545731833d9a81bfc72087aa56d2fe0337443be1d1f71756e7
Size: 703.24 MB
Asianux Server 7 for x86_64
- firefox-115.5.0-1.0.1.el7.AXS7.i686.rpm
MD5: 7ed627b09d95b31b20d40a9414c394c1
SHA-256: 5ea59e7d2341c538fae50498c71c85560e2aac05cae01eab82b722732821524b
Size: 116.48 MB - firefox-115.5.0-1.0.1.el7.AXS7.x86_64.rpm
MD5: d972c41a785a50e5c6170ddbe89de86c
SHA-256: b05c472c763d0e06d0ca7efe09a5f764a87f8f03803a7b2a7337f91a971468a7
Size: 112.80 MB
English