firefox-115.11.0-1.el9_4.ML.1

エラータID: AXSA:2024-8277:19

リリース日: 
2024/06/17 Monday - 14:25
題名: 
firefox-115.11.0-1.el9_4.ML.1
影響のあるチャネル: 
MIRACLE LINUX 9 for x86_64
Severity: 
High
Description: 

以下項目について対処しました。

[Security Fix]
- Firefox および Thunderbird の PDF.js には、フォント
を処理する際の型のチェック処理が欠落しているため、
リモートの攻撃者により、任意の JavaScript コードの
実行を可能とする脆弱性が存在します。
(CVE-2024-4367)

- Firefox および Thunderbird には、
browser.privatebrowsing.autostart が有効化されている
場合、ウィンドウを閉じた際に IndexedDB ファイルが
削除されない問題があるため、リモートの攻撃者により、
情報の漏洩を可能とする脆弱性が存在します。
(CVE-2024-4767)

- Firefox および Thunderbird には、ポップアップ通知
および WebAuthn の処理に問題があるため、リモート
の攻撃者により、利用者を騙し、不正なアクセス権限
の付与を許可させることを可能とする脆弱性が存在
します。(CVE-2024-4768)

- Firefox および Thunderbird には、JavaScript からの
応答であるか、スクリプト以外からの応答であるかを
エラーメッセージから読み取れてしまう問題があるため、
リモートの攻撃者により、情報の漏洩などを可能とする
脆弱性が存在します。(CVE-2024-4769)

- Firefox および Thunderbird には、メモリ領域の解放後
利用の問題があるため、リモートの攻撃者により、印刷
機能を用いた PDF 形式のファイルの出力を介して、
サービス拒否攻撃を可能とする脆弱性が存在します。
(CVE-2024-4770)

- Firefox および Thunderbird には、メモリ破壊の問題が
あるため、リモートの攻撃者により、任意のコードの
実行を可能とする脆弱性が存在します。
(CVE-2024-4777)

解決策: 

パッケージをアップデートしてください。

CVE: 
CVE-2024-4367
A type check was missing when handling fonts in PDF.js, which would allow arbitrary JavaScript execution in the PDF.js context. This vulnerability affects Firefox < 126, Firefox ESR < 115.11, and Thunderbird < 115.11.
CVE-2024-4767
If the `browser.privatebrowsing.autostart` preference is enabled, IndexedDB files were not properly deleted when the window was closed. This preference is disabled by default in Firefox. This vulnerability affects Firefox < 126, Firefox ESR < 115.11, and Thunderbird < 115.11.
CVE-2024-4768
A bug in popup notifications' interaction with WebAuthn made it easier for an attacker to trick a user into granting permissions. This vulnerability affects Firefox < 126, Firefox ESR < 115.11, and Thunderbird < 115.11.
CVE-2024-4769
When importing resources using Web Workers, error messages would distinguish the difference between `application/javascript` responses and non-script responses. This could have been abused to learn information cross-origin. This vulnerability affects Firefox < 126, Firefox ESR < 115.11, and Thunderbird < 115.11.
CVE-2024-4770
When saving a page to PDF, certain font styles could have led to a potential use-after-free crash. This vulnerability affects Firefox < 126, Firefox ESR < 115.11, and Thunderbird < 115.11.
CVE-2024-4777
Memory safety bugs present in Firefox 125, Firefox ESR 115.10, and Thunderbird 115.10. Some of these bugs showed evidence of memory corruption and we presume that with enough effort some of these could have been exploited to run arbitrary code. This vulnerability affects Firefox < 126, Firefox ESR < 115.11, and Thunderbird < 115.11.
追加情報: 

N/A

ダウンロード: 

SRPMS
  1. firefox-115.11.0-1.el9_4.ML.1.src.rpm
    MD5: 0dec0d4c48293dd1e262bed9cffe182f
    SHA-256: 7a63fdbedfafabcbdadf68db15821e4692f9f7c77997bd9da39e0e6adc9dd4bc
    Size: 705.22 MB

Asianux Server 9 for x86_64
  1. firefox-115.11.0-1.el9_4.ML.1.x86_64.rpm
    MD5: 33048e74d4da8e3aca7dbaf4daf8a769
    SHA-256: 50e4a675e0cf4c7a3f007724c385dfcc655c7910606ffd493785382bd4022252
    Size: 113.39 MB
  2. firefox-x11-115.11.0-1.el9_4.ML.1.x86_64.rpm
    MD5: bdb2311618d1fdd2e54cbd419bfe2918
    SHA-256: ffebecd81c1d1b5e7b9edcec4b4a894ab8b35767bae1f46afb8d477f8ac3f1a5
    Size: 13.69 kB