thunderbird-128.5.0-1.el8_10.ML.1
エラータID: AXSA:2024-9052:28
以下項目について対処しました。
[Security Fix]
- Thunderbird の OpenPGP 暗号化メッセージの処理には、
リモートの攻撃者により、リモートコンテンツの処理を介して、
メッセージの平文の漏洩を可能とする脆弱性が存在します。
(CVE-2024-11159)
- Firefox および Thunderbird には、ドロップダウンリスト
を別のタブの上に表示できてしまう問題があるため、リモート
の攻撃者により、なりすまし攻撃を可能とする脆弱性が存在
します。(CVE-2024-11692)
- Firefox および Thunderbird のトラッキングの強化保護
モードの処理には、"frame-src" CSP の迂回を許容してしまう
問題があるため、リモートの攻撃者により、Web 互換性拡張
機能を介して、クロスサイトスクリプティング攻撃を可能と
する脆弱性が存在します。(CVE-2024-11694)
- Firefox および Thunderbird には、ページのオリジン
を隠してしまう問題があるため、リモートの攻撃者により、
アラビア文字および空白文字を含む細工された URL の処理
を介して、なりすまし攻撃を可能とする脆弱性が存在します。
(CVE-2024-11695)
- Firefox および Thunderbird には、
loadManifestFromFile() メソッドの例外に対する考慮が欠落
しているため、リモートの攻撃者により、無効、もしくは
サポートされていない拡張機能マニフェストの利用を介して、
関連のないアドオンの署名検証の迂回を可能とする脆弱性が
存在します。(CVE-2024-11696)
- Firefox および Thunderbird には、キー押下イベントを
処理する際に、本来表示される実行ファイルの確認ダイアログ
の表示と実行確認を迂回できてしまう問題があるため、
リモートの攻撃者により、細工された Web コンテンツの実行
を介して、ユーザーを騙し、任意のコードの実行を可能とする
脆弱性が存在します。(CVE-2024-11697)
- Firefox および Thunderbird には、メモリ破壊の問題が
あるため、リモートの攻撃者により、任意のコードの実行を
可能とする脆弱性が存在します。(CVE-2024-11699)
パッケージをアップデートしてください。
Using remote content in OpenPGP encrypted messages can lead to the disclosure of plaintext. This vulnerability affects Thunderbird < 128.4.3 and Thunderbird < 132.0.1.
An attacker could cause a select dropdown to be shown over another tab; this could have led to user confusion and possible spoofing attacks. This vulnerability affects Firefox < 133, Firefox ESR < 128.5, Thunderbird < 133, and Thunderbird < 128.5.
Enhanced Tracking Protection's Strict mode may have inadvertently allowed a CSP `frame-src` bypass and DOM-based XSS through the Google SafeFrame shim in the Web Compatibility extension. This issue could have exposed users to malicious frames masquerading as legitimate content. This vulnerability affects Firefox < 133, Firefox ESR < 128.5, Firefox ESR < 115.18, Thunderbird < 133, and Thunderbird < 128.5.
A crafted URL containing Arabic script and whitespace characters could have hidden the true origin of the page, resulting in a potential spoofing attack. This vulnerability affects Firefox < 133, Firefox ESR < 128.5, Thunderbird < 133, and Thunderbird < 128.5.
The application failed to account for exceptions thrown by the `loadManifestFromFile` method during add-on signature verification. This flaw, triggered by an invalid or unsupported extension manifest, could have caused runtime errors that disrupted the signature validation process. As a result, the enforcement of signature validation for unrelated add-ons may have been bypassed. Signature validation in this context is used to ensure that third-party applications on the user's computer have not tampered with the user's extensions, limiting the impact of this issue. This vulnerability affects Firefox < 133, Firefox ESR < 128.5, Thunderbird < 133, and Thunderbird < 128.5.
When handling keypress events, an attacker may have been able to trick a user into bypassing the "Open Executable File?" confirmation dialog. This could have led to malicious code execution. This vulnerability affects Firefox < 133, Firefox ESR < 128.5, Thunderbird < 133, and Thunderbird < 128.5.
Memory safety bugs present in Firefox 132, Firefox ESR 128.4, and Thunderbird 128.4. Some of these bugs showed evidence of memory corruption and we presume that with enough effort some of these could have been exploited to run arbitrary code. This vulnerability affects Firefox < 133, Firefox ESR < 128.5, Thunderbird < 133, and Thunderbird < 128.5.
N/A
SRPMS
- thunderbird-128.5.0-1.el8_10.ML.1.src.rpm
MD5: ea49bb8fa12142bc0e43b799e3528822
SHA-256: 0309f5f1dd7d55ce343b22233d47ae9a3f8525f4feb3d3260b45b612c3b5ff60
Size: 853.33 MB
Asianux Server 8 for x86_64
- thunderbird-128.5.0-1.el8_10.ML.1.x86_64.rpm
MD5: 42a9f8541fb580dcc56a04ce48288910
SHA-256: ef7a1f9aa8dfcfb0ab53f027ae98c4bdc95b12370cd0b6948695339f0d92d467
Size: 121.93 MB
English