firefox-115.11.0-1.el8_10.ML.1

エラータID: AXSA:2024-8466:22

リリース日: 
2024/06/26 Wednesday - 11:29
題名: 
firefox-115.11.0-1.el8_10.ML.1
影響のあるチャネル: 
Asianux Server 8 for x86_64
Severity: 
Moderate
Description: 

以下項目について対処しました。

[Security Fix]
- Firefox および Thunderbird の PDF.js には、フォントを処理
する際の型のチェック処理が欠落しているため、リモートの
攻撃者により、任意の JavaScript コードの実行を可能とする
脆弱性が存在します。(CVE-2024-4367)

- Firefox および Thunderbird には、
browser.privatebrowsing.autostart が有効化されている場合、
ウィンドウを閉じた際に IndexedDB ファイルが削除されない
問題があるため、リモートの攻撃者により、情報の漏洩を
可能とする脆弱性が存在します。(CVE-2024-4767)

- Firefox および Thunderbird には、ポップアップ通知および
WebAuthn の処理に問題があるため、リモートの攻撃者により、
利用者を騙し、不正なアクセス権限の付与を許可させること
を可能とする脆弱性が存在します。(CVE-2024-4768)

- Firefox および Thunderbird には、JavaScript からの応答
であるか、スクリプト以外からの応答であるかをエラー
メッセージから読み取れてしまう問題があるため、リモート
の攻撃者により、情報の漏洩などを可能とする脆弱性が存在
します。(CVE-2024-4769)

- Firefox および Thunderbird には、メモリ領域の解放後利用
の問題があるため、リモートの攻撃者により、印刷機能を
用いた PDF 形式のファイルの出力を介して、サービス拒否
攻撃を可能とする脆弱性が存在します。(CVE-2024-4770)

- Firefox および Thunderbird には、メモリ破壊の問題がある
ため、リモートの攻撃者により、任意のコードの実行を可能
とする脆弱性が存在します。(CVE-2024-4777)

解決策: 

パッケージをアップデートしてください。

CVE: 
CVE-2024-4367
A type check was missing when handling fonts in PDF.js, which would allow arbitrary JavaScript execution in the PDF.js context. This vulnerability affects Firefox < 126, Firefox ESR < 115.11, and Thunderbird < 115.11.
CVE-2024-4767
If the `browser.privatebrowsing.autostart` preference is enabled, IndexedDB files were not properly deleted when the window was closed. This preference is disabled by default in Firefox. This vulnerability affects Firefox < 126, Firefox ESR < 115.11, and Thunderbird < 115.11.
CVE-2024-4768
A bug in popup notifications' interaction with WebAuthn made it easier for an attacker to trick a user into granting permissions. This vulnerability affects Firefox < 126, Firefox ESR < 115.11, and Thunderbird < 115.11.
CVE-2024-4769
When importing resources using Web Workers, error messages would distinguish the difference between `application/javascript` responses and non-script responses. This could have been abused to learn information cross-origin. This vulnerability affects Firefox < 126, Firefox ESR < 115.11, and Thunderbird < 115.11.
CVE-2024-4770
When saving a page to PDF, certain font styles could have led to a potential use-after-free crash. This vulnerability affects Firefox < 126, Firefox ESR < 115.11, and Thunderbird < 115.11.
CVE-2024-4777
Memory safety bugs present in Firefox 125, Firefox ESR 115.10, and Thunderbird 115.10. Some of these bugs showed evidence of memory corruption and we presume that with enough effort some of these could have been exploited to run arbitrary code. This vulnerability affects Firefox < 126, Firefox ESR < 115.11, and Thunderbird < 115.11.
追加情報: 

N/A

ダウンロード: 

SRPMS
  1. firefox-115.11.0-1.el8_10.ML.1.src.rpm
    MD5: 0f4249e4de742b2bd14275140bbc57f7
    SHA-256: c9507eabc8079afacd7581313b139712d9b0178a16131cc9a3efc84483ab25fd
    Size: 705.22 MB

Asianux Server 8 for x86_64
  1. firefox-115.11.0-1.el8_10.ML.1.x86_64.rpm
    MD5: 3c352d3f473c94bfe8187fbb7ec37b21
    SHA-256: 6e23dec2384b6f29d07005327b4b425c8630dc62f1d69573e5a1a808cf1980ea
    Size: 116.17 MB