thunderbird-115.11.0-1.el9_4.ML.1

エラータID: AXSA:2024-8308:12

リリース日: 
2024/06/17 Monday - 18:27
題名: 
thunderbird-115.11.0-1.el9_4.ML.1
影響のあるチャネル: 
MIRACLE LINUX 9 for x86_64
Severity: 
High
Description: 

以下項目について対処しました。

[Security Fix]
- Firefox および Thunderbird の PDF.js には、フォントを
処理する際の型のチェック処理が欠落しているため、
リモートの攻撃者により、任意の JavaScript コードの
実行を可能とする脆弱性が存在します。
(CVE-2024-4367)

- Firefox および Thunderbird には、
browser.privatebrowsing.autostart が有効化されている場合、
ウィンドウを閉じた際に IndexedDB ファイルが削除されない
問題があるため、リモートの攻撃者により、情報の漏洩を
可能とする脆弱性が存在します。(CVE-2024-4767)

- Firefox および Thunderbird には、ポップアップ通知および
WebAuthn の処理に問題があるため、リモートの攻撃者に
より、利用者を騙し、不正なアクセス権限の付与を許可
させることを可能とする脆弱性が存在します。
(CVE-2024-4768)

- Firefox および Thunderbird には、JavaScript からの
応答であるか、スクリプト以外からの応答であるかを
エラーメッセージから読み取れてしまう問題があるため、
リモートの攻撃者により、情報の漏洩などを可能とする
脆弱性が存在します。(CVE-2024-4769)

- Firefox および Thunderbird には、メモリ領域の解放後
利用の問題があるため、リモートの攻撃者により、印刷
機能を用いた PDF 形式のファイルの出力を介して、
サービス拒否攻撃を可能とする脆弱性が存在します。
(CVE-2024-4770)

- Firefox および Thunderbird には、メモリ破壊の問題が
あるため、リモートの攻撃者により、任意のコードの
実行を可能とする脆弱性が存在します。(CVE-2024-4777)

解決策: 

パッケージをアップデートしてください。

CVE: 
CVE-2024-4367
A type check was missing when handling fonts in PDF.js, which would allow arbitrary JavaScript execution in the PDF.js context. This vulnerability affects Firefox < 126, Firefox ESR < 115.11, and Thunderbird < 115.11.
CVE-2024-4767
If the `browser.privatebrowsing.autostart` preference is enabled, IndexedDB files were not properly deleted when the window was closed. This preference is disabled by default in Firefox. This vulnerability affects Firefox < 126, Firefox ESR < 115.11, and Thunderbird < 115.11.
CVE-2024-4768
A bug in popup notifications' interaction with WebAuthn made it easier for an attacker to trick a user into granting permissions. This vulnerability affects Firefox < 126, Firefox ESR < 115.11, and Thunderbird < 115.11.
CVE-2024-4769
When importing resources using Web Workers, error messages would distinguish the difference between `application/javascript` responses and non-script responses. This could have been abused to learn information cross-origin. This vulnerability affects Firefox < 126, Firefox ESR < 115.11, and Thunderbird < 115.11.
CVE-2024-4770
When saving a page to PDF, certain font styles could have led to a potential use-after-free crash. This vulnerability affects Firefox < 126, Firefox ESR < 115.11, and Thunderbird < 115.11.
CVE-2024-4777
Memory safety bugs present in Firefox 125, Firefox ESR 115.10, and Thunderbird 115.10. Some of these bugs showed evidence of memory corruption and we presume that with enough effort some of these could have been exploited to run arbitrary code. This vulnerability affects Firefox < 126, Firefox ESR < 115.11, and Thunderbird < 115.11.
追加情報: 

N/A

ダウンロード: 

SRPMS
  1. thunderbird-115.11.0-1.el9_4.ML.1.src.rpm
    MD5: e05eacc76b6f722dfba5c78cd300206a
    SHA-256: ec3e307659a6f3014839470bbed77cc33ae56c92f65f0d4cbb03f325a4206349
    Size: 702.53 MB

Asianux Server 9 for x86_64
  1. thunderbird-115.11.0-1.el9_4.ML.1.x86_64.rpm
    MD5: 1d835309e74e3c8f450f419e6dd94ae8
    SHA-256: d8980dc244e468104e77d2cc48e14e9b9b2e29803581cdbbbf0a7d520c4f687e
    Size: 106.76 MB