thunderbird-115.11.0-1.el8_10.ML.1

エラータID: AXSA:2024-8467:14

リリース日: 
2024/06/26 Wednesday - 13:46
題名: 
thunderbird-115.11.0-1.el8_10.ML.1
影響のあるチャネル: 
Asianux Server 8 for x86_64
Severity: 
Moderate
Description: 

以下項目について対処しました。

[Security Fix]
- Firefox および Thunderbird の PDF.js には、フォントを処理
する際の型のチェック処理が欠落しているため、リモートの
攻撃者により、任意の JavaScript コードの実行を可能とする
脆弱性が存在します。(CVE-2024-4367)

- Firefox および Thunderbird には、
browser.privatebrowsing.autostart が有効化されている場合、
ウィンドウを閉じた際に IndexedDB ファイルが削除されない
問題があるため、リモートの攻撃者により、情報の漏洩を
可能とする脆弱性が存在します。(CVE-2024-4767)

- Firefox および Thunderbird には、ポップアップ通知および
WebAuthn の処理に問題があるため、リモートの攻撃者により、
利用者を騙し、不正なアクセス権限の付与を許可させること
を可能とする脆弱性が存在します。(CVE-2024-4768)

- Firefox および Thunderbird には、JavaScript からの応答
であるか、スクリプト以外からの応答であるかをエラー
メッセージから読み取れてしまう問題があるため、リモート
の攻撃者により、情報の漏洩などを可能とする脆弱性が存在
します。(CVE-2024-4769)

- Firefox および Thunderbird には、メモリ領域の解放後利用
の問題があるため、リモートの攻撃者により、印刷機能を
用いた PDF 形式のファイルの出力を介して、サービス拒否
攻撃を可能とする脆弱性が存在します。(CVE-2024-4770)

- Firefox および Thunderbird には、メモリ破壊の問題がある
ため、リモートの攻撃者により、任意のコードの実行を可能
とする脆弱性が存在します。(CVE-2024-4777)

解決策: 

パッケージをアップデートしてください。

CVE: 
CVE-2024-4367
A type check was missing when handling fonts in PDF.js, which would allow arbitrary JavaScript execution in the PDF.js context. This vulnerability affects Firefox < 126, Firefox ESR < 115.11, and Thunderbird < 115.11.
CVE-2024-4767
If the `browser.privatebrowsing.autostart` preference is enabled, IndexedDB files were not properly deleted when the window was closed. This preference is disabled by default in Firefox. This vulnerability affects Firefox < 126, Firefox ESR < 115.11, and Thunderbird < 115.11.
CVE-2024-4768
A bug in popup notifications' interaction with WebAuthn made it easier for an attacker to trick a user into granting permissions. This vulnerability affects Firefox < 126, Firefox ESR < 115.11, and Thunderbird < 115.11.
CVE-2024-4769
When importing resources using Web Workers, error messages would distinguish the difference between `application/javascript` responses and non-script responses. This could have been abused to learn information cross-origin. This vulnerability affects Firefox < 126, Firefox ESR < 115.11, and Thunderbird < 115.11.
CVE-2024-4770
When saving a page to PDF, certain font styles could have led to a potential use-after-free crash. This vulnerability affects Firefox < 126, Firefox ESR < 115.11, and Thunderbird < 115.11.
CVE-2024-4777
Memory safety bugs present in Firefox 125, Firefox ESR 115.10, and Thunderbird 115.10. Some of these bugs showed evidence of memory corruption and we presume that with enough effort some of these could have been exploited to run arbitrary code. This vulnerability affects Firefox < 126, Firefox ESR < 115.11, and Thunderbird < 115.11.
追加情報: 

N/A

ダウンロード: 

SRPMS
  1. thunderbird-115.11.0-1.el8_10.ML.1.src.rpm
    MD5: 0cab0b0c6ae2dff294bec5afefb63e26
    SHA-256: 7bb4bd16b98d6088a409735cd4e6828deba88fc559ab661c4c7fb5a1b7f09900
    Size: 702.53 MB

Asianux Server 8 for x86_64
  1. thunderbird-115.11.0-1.el8_10.ML.1.x86_64.rpm
    MD5: 7f0d279b3efd76e605c5950718109337
    SHA-256: 039e61258539e78be9f7bc281a539865b81fb6e9c5972424631c5aa3d71d8b3c
    Size: 109.52 MB