firefox-115.12.0-1.el9_4.ML.1

エラータID: AXSA:2024-8450:21

リリース日: 
2024/06/24 Monday - 16:39
題名: 
firefox-115.12.0-1.el9_4.ML.1
影響のあるチャネル: 
MIRACLE LINUX 9 for x86_64
Severity: 
High
Description: 

以下項目について対処しました。

[Security Fix]
- Firefox のオブジェクトのガベージコレクション機能には、
オブジェクトの移動処理における解放後利用の問題があるため、
リモートの攻撃者により、データ破壊、情報の漏洩、および
サービス拒否攻撃などを可能とする脆弱性が存在します。
(CVE-2024-5688)

- Firefox には、特定の操作に要する時間の測定からユーザー
の環境で稼働している外部プロトコルハンドラーを推測できて
しまう問題があるため、リモートの攻撃者により、情報の漏洩
などを可能とする脆弱性が存在します。(CVE-2024-5690)

- Firefox には、サンドボックス化された iframe の制限の迂回
を許容してしまう問題があるため、リモートの攻撃者により、
"X-Frame-Options" ヘッダーを含むように細工されたコンテンツ
の処理を介して、ユーザーのクリック操作によって本来表示
できない「新しいウィンドウを開く」ボタンの表示を可能とする
脆弱性が存在します。(CVE-2024-5691)

- Firefox のオフスクリーンキャンバスには、オリジン間の保護
ポリシーの処理に問題があるため、リモートの攻撃者により、
オリジンポリシーを迂回し、他のサイトの画像データへの
アクセスを可能とする脆弱性が存在します。(CVE-2024-5693)

- Firefox には、メモリ破壊の問題があるため、リモートの攻撃者
により、"<input>" タグを含むように細工されたコンテンツの
処理を介して、サービス拒否攻撃 (クラッシュの発生) を可能
とする脆弱性が存在します。(CVE-2024-5696)

- Firefox および Thunderbird には、メモリ破壊の問題がある
ため、リモートの攻撃者により、任意のコードの実行を可能
とする脆弱性が存在します。(CVE-2024-5700)

- Firefox には、ネットワークスタックにメモリ破壊を起こす問題
があるため、リモートの攻撃者により、潜在的にクラッシュ
させることを可能とする脆弱性が存在します。(CVE-2024-5702)

解決策: 

パッケージをアップデートしてください。

CVE: 
CVE-2024-5688
If a garbage collection was triggered at the right time, a use-after-free could have occurred during object transplant. This vulnerability affects Firefox < 127, Firefox ESR < 115.12, and Thunderbird < 115.12.
CVE-2024-5690
By monitoring the time certain operations take, an attacker could have guessed which external protocol handlers were functional on a user's system. This vulnerability affects Firefox < 127, Firefox ESR < 115.12, and Thunderbird < 115.12.
CVE-2024-5691
By tricking the browser with a `X-Frame-Options` header, a sandboxed iframe could have presented a button that, if clicked by a user, would bypass restrictions to open a new window. This vulnerability affects Firefox < 127, Firefox ESR < 115.12, and Thunderbird < 115.12.
CVE-2024-5693
Offscreen Canvas did not properly track cross-origin tainting, which could be used to access image data from another site in violation of same-origin policy. This vulnerability affects Firefox < 127, Firefox ESR < 115.12, and Thunderbird < 115.12.
CVE-2024-5696
By manipulating the text in an `<input>` tag, an attacker could have caused corrupt memory leading to a potentially exploitable crash. This vulnerability affects Firefox < 127, Firefox ESR < 115.12, and Thunderbird < 115.12.
CVE-2024-5700
Memory safety bugs present in Firefox 126, Firefox ESR 115.11, and Thunderbird 115.11. Some of these bugs showed evidence of memory corruption and we presume that with enough effort some of these could have been exploited to run arbitrary code. This vulnerability affects Firefox < 127, Firefox ESR < 115.12, and Thunderbird < 115.12.
CVE-2024-5702
Memory corruption in the networking stack could have led to a potentially exploitable crash. This vulnerability affects Firefox < 125, Firefox ESR < 115.12, and Thunderbird < 115.12.
追加情報: 

N/A

ダウンロード: 

SRPMS
  1. firefox-115.12.0-1.el9_4.ML.1.src.rpm
    MD5: 09a550945e18de8e0c229025d2207c2f
    SHA-256: 40aa58ce2528cd202c8814b50ee315cbf54542a3be6cad6c45c22d78558b796e
    Size: 705.21 MB

Asianux Server 9 for x86_64
  1. firefox-115.12.0-1.el9_4.ML.1.x86_64.rpm
    MD5: ffd7004586721ff71a5c5872bba4c8bf
    SHA-256: 7ddb3edf6d67c9d7dfb15936ed82c3f06cf9d0b5d10daf46f4a74988c193f974
    Size: 113.37 MB
  2. firefox-x11-115.12.0-1.el9_4.ML.1.x86_64.rpm
    MD5: c031471b17acd7da604069ad9b4b1f4c
    SHA-256: 06467f42e34b5ff5f908c1ef4969a06502121be9e2dc993aa6ddc20d65bdf486
    Size: 13.70 kB