thunderbird-115.7.0-1.el8_9.ML.1
エラータID: AXSA:2024-7501:04
以下項目について対処しました。
[Security Fix]
- Firefox および Thunderbird の ANGLE バックエンドには、
メモリ破壊の問題があるため、リモートの攻撃者により、
サービス拒否攻撃 (クラッシュの発生) を可能とする脆弱性
が存在します。(CVE-2024-0741)
- Firefox および Thunderbird のページの読み込み後の意図
しない入力を防ぐための機能には、誤ったタイムスタンプ値が
利用されていることに起因してプロンプトやダイアログの不正
な表示や消去を可能としてしまう問題があるため、リモートの
攻撃者により、利用者の誤誘導を可能とする脆弱性が存在します。
(CVE-2024-0742)
- Firefox および Thunderbird には、印刷のプレビューを
表示した際にクラッシュしてしまう問題があるため、リモート
の攻撃者により、サービス拒否攻撃を可能とする脆弱性が存在
します。(CVE-2024-0746)
- Firefox および Thunderbird には、unsafe-inline を
利用して iframe 内のコンテンツをロードした際に iframe
内のコンテンツが持つセキュリティーポリシーを iframe を
利用する側のコンテンツのセキュリティーポリシーでオーバー
ライドしてしまう問題があるため、リモートの攻撃者により、
セキュリティポリシーの迂回を可能とする脆弱性が存在します。
(CVE-2024-0747)
- Firefox および Thunderbird には、"about:" ダイアログ
を利用して誤ったサイトをアドレスバーに表示してしまう問題
があるため、リモートの攻撃者により、利用者の誤誘導を可能
とする脆弱性が存在します。(CVE-2024-0749)
- Firefox および Thunderbird には、権限付与の許可を得る
ためのポップアップ表示の遅延時間算出処理に問題があるため、
リモートの攻撃者により、クリックジャッキング攻撃による
権限付与確認の迂回を可能とする脆弱性が存在します。
(CVE-2024-0750)
- Firefox および Thunderbird には、リモートの攻撃者に
より、細工された devtools 拡張を介して、特権昇格を可能
とする脆弱性が存在します。(CVE-2024-0751)
- Firefox および Thunderbird には、特定の Hypertext
Strict Transport Security (HSTS) の設定環境下において、
リモートの攻撃者により、サブドメイン上の HSTS ポリシー
による保護の迂回を可能とする脆弱性が存在します。
(CVE-2024-0753)
- Firefox および Thunderbird には、メモリ破壊の問題が
あるため、リモートの攻撃者により、任意のコードの実行を
可能とする脆弱性が存在します。(CVE-2024-0755)
パッケージをアップデートしてください。
An out of bounds write in ANGLE could have allowed an attacker to corrupt memory leading to a potentially exploitable crash. This vulnerability affects Firefox < 122, Firefox ESR < 115.7, and Thunderbird < 115.7.
It was possible for certain browser prompts and dialogs to be activated or dismissed unintentionally by the user due to an incorrect timestamp used to prevent input after page load. This vulnerability affects Firefox < 122, Firefox ESR < 115.7, and Thunderbird < 115.7.
A Linux user opening the print preview dialog could have caused the browser to crash. This vulnerability affects Firefox < 122, Firefox ESR < 115.7, and Thunderbird < 115.7.
When a parent page loaded a child in an iframe with `unsafe-inline`, the parent Content Security Policy could have overridden the child Content Security Policy. This vulnerability affects Firefox < 122, Firefox ESR < 115.7, and Thunderbird < 115.7.
A phishing site could have repurposed an `about:` dialog to show phishing content with an incorrect origin in the address bar. This vulnerability affects Firefox < 122, Firefox ESR < 115.7, and Thunderbird < 115.7.
A bug in popup notifications delay calculation could have made it possible for an attacker to trick a user into granting permissions. This vulnerability affects Firefox < 122, Firefox ESR < 115.7, and Thunderbird < 115.7.
A malicious devtools extension could have been used to escalate privileges. This vulnerability affects Firefox < 122, Firefox ESR < 115.7, and Thunderbird < 115.7.
In specific HSTS configurations an attacker could have bypassed HSTS on a subdomain. This vulnerability affects Firefox < 122, Firefox ESR < 115.7, and Thunderbird < 115.7.
Memory safety bugs present in Firefox 121, Firefox ESR 115.6, and Thunderbird 115.6. Some of these bugs showed evidence of memory corruption and we presume that with enough effort some of these could have been exploited to run arbitrary code. This vulnerability affects Firefox < 122, Firefox ESR < 115.7, and Thunderbird < 115.7.
N/A
SRPMS
- thunderbird-115.7.0-1.el8_9.ML.1.src.rpm
MD5: 500bcca92daf62293fd9a6f8409c9c70
SHA-256: 34946e3a67a628e5270a551623fd319ff02f0b15b5323004bc8b0448bb19c7bd
Size: 705.92 MB
Asianux Server 8 for x86_64
- thunderbird-115.7.0-1.el8_9.ML.1.x86_64.rpm
MD5: 9c62b9100bdbc9efcc91a6b21b8fe815
SHA-256: 4c046ee3407cbca573b6dfdd1b6775c68b064f7f239597d820150df7c01bbdc9
Size: 110.74 MB
English