firefox-115.7.0-1.0.1.el7.AXS7

エラータID: AXSA:2024-7492:05

リリース日: 
2024/01/31 Wednesday - 18:39
題名: 
firefox-115.7.0-1.0.1.el7.AXS7
影響のあるチャネル: 
Asianux Server 7 for x86_64
Severity: 
High
Description: 

以下項目について対処しました。

[Security Fix]
- Firefox および Thunderbird の ANGLE バックエンドには、
メモリ破壊の問題があるため、リモートの攻撃者により、
サービス拒否攻撃 (クラッシュの発生) を可能とする脆弱性
が存在します。(CVE-2024-0741)

- Firefox および Thunderbird のページの読み込み後の意図
しない入力を防ぐための機能には、誤ったタイムスタンプ値が
利用されていることに起因してプロンプトやダイアログの不正
な表示や消去を可能としてしまう問題があるため、リモートの
攻撃者により、利用者の誤誘導を可能とする脆弱性が存在します。
(CVE-2024-0742)

- Firefox および Thunderbird には、印刷のプレビューを
表示した際にクラッシュしてしまう問題があるため、リモート
の攻撃者により、サービス拒否攻撃を可能とする脆弱性が存在
します。(CVE-2024-0746)

- Firefox および Thunderbird には、unsafe-inline を
利用して iframe 内のコンテンツをロードした際に iframe
内のコンテンツが持つセキュリティーポリシーを iframe を
利用する側のコンテンツのセキュリティーポリシーでオーバー
ライドしてしまう問題があるため、リモートの攻撃者により、
セキュリティポリシーの迂回を可能とする脆弱性が存在します。
(CVE-2024-0747)

- Firefox および Thunderbird には、"about:" ダイアログ
を利用して誤ったサイトをアドレスバーに表示してしまう問題
があるため、リモートの攻撃者により、利用者の誤誘導を可能
とする脆弱性が存在します。(CVE-2024-0749)

- Firefox および Thunderbird には、権限付与の許可を得る
ためのポップアップ表示の遅延時間算出処理に問題があるため、
リモートの攻撃者により、クリックジャッキング攻撃による
権限付与確認の迂回を可能とする脆弱性が存在します。
(CVE-2024-0750)

- Firefox および Thunderbird には、リモートの攻撃者に
より、細工された devtools 拡張を介して、特権昇格を可能
とする脆弱性が存在します。(CVE-2024-0751)

- Firefox および Thunderbird には、特定の Hypertext
Strict Transport Security (HSTS) の設定環境下において、
リモートの攻撃者により、サブドメイン上の HSTS ポリシー
による保護の迂回を可能とする脆弱性が存在します。
(CVE-2024-0753)

- Firefox および Thunderbird には、メモリ破壊の問題が
あるため、リモートの攻撃者により、任意のコードの実行を
可能とする脆弱性が存在します。(CVE-2024-0755)

解決策: 

パッケージをアップデートしてください。

CVE: 
CVE-2024-0741
An out of bounds write in ANGLE could have allowed an attacker to corrupt memory leading to a potentially exploitable crash. This vulnerability affects Firefox < 122, Firefox ESR < 115.7, and Thunderbird < 115.7.
CVE-2024-0742
It was possible for certain browser prompts and dialogs to be activated or dismissed unintentionally by the user due to an incorrect timestamp used to prevent input after page load. This vulnerability affects Firefox < 122, Firefox ESR < 115.7, and Thunderbird < 115.7.
CVE-2024-0746
A Linux user opening the print preview dialog could have caused the browser to crash. This vulnerability affects Firefox < 122, Firefox ESR < 115.7, and Thunderbird < 115.7.
CVE-2024-0747
When a parent page loaded a child in an iframe with `unsafe-inline`, the parent Content Security Policy could have overridden the child Content Security Policy. This vulnerability affects Firefox < 122, Firefox ESR < 115.7, and Thunderbird < 115.7.
CVE-2024-0749
A phishing site could have repurposed an `about:` dialog to show phishing content with an incorrect origin in the address bar. This vulnerability affects Firefox < 122, Firefox ESR < 115.7, and Thunderbird < 115.7.
CVE-2024-0750
A bug in popup notifications delay calculation could have made it possible for an attacker to trick a user into granting permissions. This vulnerability affects Firefox < 122, Firefox ESR < 115.7, and Thunderbird < 115.7.
CVE-2024-0751
A malicious devtools extension could have been used to escalate privileges. This vulnerability affects Firefox < 122, Firefox ESR < 115.7, and Thunderbird < 115.7.
CVE-2024-0753
In specific HSTS configurations an attacker could have bypassed HSTS on a subdomain. This vulnerability affects Firefox < 122, Firefox ESR < 115.7, and Thunderbird < 115.7.
CVE-2024-0755
Memory safety bugs present in Firefox 121, Firefox ESR 115.6, and Thunderbird 115.6. Some of these bugs showed evidence of memory corruption and we presume that with enough effort some of these could have been exploited to run arbitrary code. This vulnerability affects Firefox < 122, Firefox ESR < 115.7, and Thunderbird < 115.7.
追加情報: 

N/A

ダウンロード: 

SRPMS
  1. firefox-115.7.0-1.0.1.el7.AXS7.src.rpm
    MD5: 1e849ab3ecd65c92edb6317d30c5e711
    SHA-256: 2c3d7dc330ff910d2ee98d46ab13d179516f2e0e71d801359eef60fd92861281
    Size: 705.82 MB

Asianux Server 7 for x86_64
  1. firefox-115.7.0-1.0.1.el7.AXS7.i686.rpm
    MD5: 22708a513d94204e509d2c08ced76887
    SHA-256: a2e67b4be4775767c2ae180fe7034725cee21873bd46250a8649f5f8204bb8e8
    Size: 118.77 MB
  2. firefox-115.7.0-1.0.1.el7.AXS7.x86_64.rpm
    MD5: 8f5b96311c47c4f9a6d480f616026a05
    SHA-256: d93af6ac4b609ce2d02e62d4be6d8363bc35f7ce8b7742ef945362b137ee3e8e
    Size: 115.08 MB