firefox-128.3.0-1.el9_4.ML.1

エラータID: AXSA:2024-8889:32

リリース日: 
2024/10/08 Tuesday - 09:28
題名: 
firefox-128.3.0-1.el9_4.ML.1
影響のあるチャネル: 
MIRACLE LINUX 9 for x86_64
Severity: 
High
Description: 

以下項目について対処しました。

[Security Fix]
- Firefox および Thunderbird には、同一オリジンポリシー違反
の問題があるため、リモートの攻撃者により、細工された Web
コンテンツの処理を介して、クロスオリジン間の分離の迂回と、
これによる不正なページの読み取りを可能とする脆弱性が存在
します。(CVE-2024-9392)

- Firefox および Thunderbird には、"resource://pdf.js"
オリジンでの任意の JavaScript コードの実行を許容してしまう
問題があるため、リモートの攻撃者により、巧妙に細工された
マルチパートレスポンスの処理を介して、オリジン間の分離を
迂回し、不正な PDF コンテンツの読み取りを可能とする脆弱性
が存在します。(CVE-2024-9393)

- Firefox および Thunderbird には、"resource://devtools"
オリジンでの任意の JavaScript コードの実行を許容してしまう
問題があるため、リモートの攻撃者により、巧妙に細工された
マルチパートレスポンスの処理を介して、オリジン間の分離を
迂回し、不正なJSON コンテンツへのアクセスを可能とする
脆弱性が存在します。(CVE-2024-9394)

- Firefox および Thunderbrid には、メモリ破壊の問題がある
ため、リモートの攻撃者により、任意のコードの実行を可能
とする脆弱性が存在します。(CVE-2024-9401)

- Firefox および Thunderbird には、メモリ破壊の問題がある
ため、リモートの攻撃者により、任意のコードの実行を可能
とする脆弱性が存在します。(CVE-2024-9402)

解決策: 

パッケージをアップデートしてください。

CVE: 
CVE-2024-9392
A compromised content process could have allowed for the arbitrary loading of cross-origin pages. This vulnerability affects Firefox < 131, Firefox ESR < 128.3, Firefox ESR < 115.16, Thunderbird < 128.3, and Thunderbird < 131.
CVE-2024-9393
An attacker could, via a specially crafted multipart response, execute arbitrary JavaScript under the `resource://pdf.js` origin. This could allow them to access cross-origin PDF content. This access is limited to "same site" documents by the Site Isolation feature on desktop clients, but full cross-origin access is possible on Android versions. This vulnerability affects Firefox < 131, Firefox ESR < 128.3, Firefox ESR < 115.16, Thunderbird < 128.3, and Thunderbird < 131.
CVE-2024-9394
An attacker could, via a specially crafted multipart response, execute arbitrary JavaScript under the `resource://devtools` origin. This could allow them to access cross-origin JSON content. This access is limited to "same site" documents by the Site Isolation feature on desktop clients, but full cross-origin access is possible on Android versions. This vulnerability affects Firefox < 131, Firefox ESR < 128.3, Firefox ESR < 115.16, Thunderbird < 128.3, and Thunderbird < 131.
CVE-2024-9401
Memory safety bugs present in Firefox 130, Firefox ESR 115.15, Firefox ESR 128.2, and Thunderbird 128.2. Some of these bugs showed evidence of memory corruption and we presume that with enough effort some of these could have been exploited to run arbitrary code. This vulnerability affects Firefox < 131, Firefox ESR < 128.3, Firefox ESR < 115.16, Thunderbird < 128.3, and Thunderbird < 131.
CVE-2024-9402
Memory safety bugs present in Firefox 130, Firefox ESR 128.2, and Thunderbird 128.2. Some of these bugs showed evidence of memory corruption and we presume that with enough effort some of these could have been exploited to run arbitrary code. This vulnerability affects Firefox < 131, Firefox ESR < 128.3, Thunderbird < 128.3, and Thunderbird < 131.
追加情報: 

N/A

ダウンロード: 

SRPMS
  1. firefox-128.3.0-1.el9_4.ML.1.src.rpm
    MD5: fd3376aa7afaf72e839c69d6deef5134
    SHA-256: 86cfbfc01db3d90673b23ffcce06c6e351c88b4d78970329b23c2cc8a4d19725
    Size: 763.82 MB

Asianux Server 9 for x86_64
  1. firefox-128.3.0-1.el9_4.ML.1.x86_64.rpm
    MD5: 086050c32f084aad12343d8b27a644c7
    SHA-256: 5faaa5e57e3bc8bfa8bf5b5ea075c0335ecdfd7514b87f854682fdb7f5353077
    Size: 122.51 MB
  2. firefox-x11-128.3.0-1.el9_4.ML.1.x86_64.rpm
    MD5: 9b56743fa0bab9cb883af95df81219ba
    SHA-256: 8f0248deebf3f7f6890d386232888d85033bf8a771f41956ef5c98e3f83a9ab7
    Size: 13.46 kB