firefox-115.7.0-1.el9_3.ML.1
エラータID: AXSA:2024-7504:07
以下項目について対処しました。
[Security Fix]
- Firefox および Thunderbird の ANGLE バックエンドには、
メモリ破壊の問題があるため、リモートの攻撃者により、
サービス拒否攻撃 (クラッシュの発生) を可能とする脆弱性
が存在します。(CVE-2024-0741)
- Firefox および Thunderbird のページの読み込み後の意図
しない入力を防ぐための機能には、誤ったタイムスタンプ値が
利用されていることに起因してプロンプトやダイアログの不正
な表示や消去を可能としてしまう問題があるため、リモートの
攻撃者により、利用者の誤誘導を可能とする脆弱性が存在します。
(CVE-2024-0742)
- Firefox および Thunderbird には、印刷のプレビューを
表示した際にクラッシュしてしまう問題があるため、リモート
の攻撃者により、サービス拒否攻撃を可能とする脆弱性が存在
します。(CVE-2024-0746)
- Firefox および Thunderbird には、unsafe-inline を
利用して iframe 内のコンテンツをロードした際に iframe
内のコンテンツが持つセキュリティーポリシーを iframe を
利用する側のコンテンツのセキュリティーポリシーでオーバー
ライドしてしまう問題があるため、リモートの攻撃者により、
セキュリティポリシーの迂回を可能とする脆弱性が存在します。
(CVE-2024-0747)
- Firefox および Thunderbird には、"about:" ダイアログ
を利用して誤ったサイトをアドレスバーに表示してしまう問題
があるため、リモートの攻撃者により、利用者の誤誘導を可能
とする脆弱性が存在します。(CVE-2024-0749)
- Firefox および Thunderbird には、権限付与の許可を得る
ためのポップアップ表示の遅延時間算出処理に問題があるため、
リモートの攻撃者により、クリックジャッキング攻撃による
権限付与確認の迂回を可能とする脆弱性が存在します。
(CVE-2024-0750)
- Firefox および Thunderbird には、リモートの攻撃者に
より、細工された devtools 拡張を介して、特権昇格を可能
とする脆弱性が存在します。(CVE-2024-0751)
- Firefox および Thunderbird には、特定の Hypertext
Strict Transport Security (HSTS) の設定環境下において、
リモートの攻撃者により、サブドメイン上の HSTS ポリシー
による保護の迂回を可能とする脆弱性が存在します。
(CVE-2024-0753)
- Firefox および Thunderbird には、メモリ破壊の問題が
あるため、リモートの攻撃者により、任意のコードの実行を
可能とする脆弱性が存在します。(CVE-2024-0755)
パッケージをアップデートしてください。
An out of bounds write in ANGLE could have allowed an attacker to corrupt memory leading to a potentially exploitable crash. This vulnerability affects Firefox < 122, Firefox ESR < 115.7, and Thunderbird < 115.7.
It was possible for certain browser prompts and dialogs to be activated or dismissed unintentionally by the user due to an incorrect timestamp used to prevent input after page load. This vulnerability affects Firefox < 122, Firefox ESR < 115.7, and Thunderbird < 115.7.
A Linux user opening the print preview dialog could have caused the browser to crash. This vulnerability affects Firefox < 122, Firefox ESR < 115.7, and Thunderbird < 115.7.
When a parent page loaded a child in an iframe with `unsafe-inline`, the parent Content Security Policy could have overridden the child Content Security Policy. This vulnerability affects Firefox < 122, Firefox ESR < 115.7, and Thunderbird < 115.7.
A phishing site could have repurposed an `about:` dialog to show phishing content with an incorrect origin in the address bar. This vulnerability affects Firefox < 122, Firefox ESR < 115.7, and Thunderbird < 115.7.
A bug in popup notifications delay calculation could have made it possible for an attacker to trick a user into granting permissions. This vulnerability affects Firefox < 122, Firefox ESR < 115.7, and Thunderbird < 115.7.
A malicious devtools extension could have been used to escalate privileges. This vulnerability affects Firefox < 122, Firefox ESR < 115.7, and Thunderbird < 115.7.
In specific HSTS configurations an attacker could have bypassed HSTS on a subdomain. This vulnerability affects Firefox < 122, Firefox ESR < 115.7, and Thunderbird < 115.7.
Memory safety bugs present in Firefox 121, Firefox ESR 115.6, and Thunderbird 115.6. Some of these bugs showed evidence of memory corruption and we presume that with enough effort some of these could have been exploited to run arbitrary code. This vulnerability affects Firefox < 122, Firefox ESR < 115.7, and Thunderbird < 115.7.
N/A
SRPMS
- firefox-115.7.0-1.el9_3.ML.1.src.rpm
MD5: ffd3440486cd9093b1a50b8f99a7a4ed
SHA-256: 206cd061aa36b637480b829cf98b37e58bf795d0c6dd9348fde814c039cc53c3
Size: 705.83 MB
Asianux Server 9 for x86_64
- firefox-115.7.0-1.el9_3.ML.1.x86_64.rpm
MD5: 57b0d9b9a7efa950641cb161f227cbcd
SHA-256: faffdd42eaf0567911ccbf3ab81224c1f211dae86b9f82538ef0760796260f89
Size: 112.33 MB - firefox-x11-115.7.0-1.el9_3.ML.1.x86_64.rpm
MD5: c87572dbd4c1285969b59f62065cd6b0
SHA-256: 357c981a8fedb545551fb4b495f095ebbe02db7020f74bac80048371c819c9ec
Size: 14.02 kB
English