thunderbird-115.8.0-1.el9_3.ML.1

エラータID: AXSA:2024-7564:06

リリース日: 
2024/03/01 Friday - 10:09
題名: 
thunderbird-115.8.0-1.el9_3.ML.1
影響のあるチャネル: 
MIRACLE LINUX 9 for x86_64
Severity: 
High
Description: 

以下項目について対処しました。

[Security Fix]
- Firefox および Thunderbird には、バッファー長の処理の
不備に起因したメモリ領域の範囲外読み取りの問題がある
ため、リモートの攻撃者により、ネットワークチャネル上
でのデータの保存とアクセスを介して、情報の漏洩などを
可能とする脆弱性が存在します。(CVE-2024-1546)

- Firefox および Thunderbird には、警告ダイアログに別の
Web サイトの URL が表示されてしまう問題があるため、
リモートの攻撃者により、細工された API の呼び出しと
リダイレクトを介して、不正なサイトへの接続の誘導を
可能とする脆弱性が存在します。(CVE-2024-1547)

- Firefox および Thunderbird には、ドロップダウンによる
選択肢の表示によってフルスクリーンモードへの遷移を通知
するダイアログが隠されてしまう問題があるため、リモート
の攻撃者により、利用者の混乱を招き、結果としてなりすまし
攻撃を可能とする脆弱性が存在します。(CVE-2024-1548)

- Firefox および Thunderbird には、サイズの大きいカスタム
マウスカーソルを設定した場合、権限の付与の確認を求める
ダイアログと重なって表示されてしまう問題があるため、
リモートの攻撃者により、利用者を騙して不正な権限を
付与させてしまうことを可能とする脆弱性が存在します。
(CVE-2024-1549)

- Firefox および Thunderbird には、フルスクリーンモードの
終了と requestPointerLock() 関数の実行を組み合わせた場合、
マウスポインタの位置を意図せずに変えてしまう問題がある
ため、リモートの攻撃者により、利用者を騙して不正な権限
を付与させてしまうことを可能とする脆弱性が存在します。
(CVE-2024-1550)

- Firefox および Thunderbird のマルチパート HTTP レスポンス
の解析処理には、Set-Cookie レスポンスヘッダーを誤って
処理してしまう問題があるため、リモートの攻撃者により、
細工された Content-Type レスポンスヘッダーおよび本文を
含む HTTP レスポンスの送信を介して、不正な Cookie の挿入
を可能とする脆弱性が存在します。(CVE-2024-1551)

- 32bit 版の ARM アーキテクチャ向けの Firefox および
Thunderbird には、不正なコードを生成してしまう問題がある
ため、リモートの攻撃者により、予測できない影響を受ける
攻撃を可能とする脆弱性が存在します。(CVE-2024-1552)

- Firefox および Thunderbird には、メモリ破壊の問題がある
ため、リモートの攻撃者により、任意のコードの実行を可能
とする脆弱性が存在します。(CVE-2024-1553)

解決策: 

パッケージをアップデートしてください。

追加情報: 

N/A

ダウンロード: 

SRPMS
  1. thunderbird-115.8.0-1.el9_3.ML.1.src.rpm
    MD5: ab91774d33cd68a671ee3b8816208928
    SHA-256: 73f8b215e650259e8f2f9213f965909371785176f287036f0d29a75ac2145dd8
    Size: 705.76 MB

Asianux Server 9 for x86_64
  1. thunderbird-115.8.0-1.el9_3.ML.1.x86_64.rpm
    MD5: 75579b312d2172fbfe1369b8e8aa9a21
    SHA-256: 925ed0f1e0dc30172049220eb1a7b21e7f9704f81991af75ea14f896f3a2ec42
    Size: 107.90 MB