firefox-128.5.1-1.0.1.el7.AXS7
エラータID: AXSA:2024-9409:41
以下項目について対処しました。
[Security Fix]
- Firefox および Thunderbird には、ドロップダウンリストを
別のタブの上に表示できてしまう問題があるため、リモート
の攻撃者により、なりすまし攻撃を可能とする脆弱性が存在
します。(CVE-2024-11692)
- Firefox および Thunderbird のトラッキングの強化保護モード
の処理には、"frame-src" CSP の迂回を許容してしまう問題が
あるため、リモートの攻撃者により、Web 互換性拡張機能を
介して、クロスサイトスクリプティング攻撃を可能とする
脆弱性が存在します。(CVE-2024-11694)
- Firefox および Thunderbird には、ページのオリジンを隠して
しまう問題があるため、リモートの攻撃者により、アラビア
文字および空白文字を含む細工された URL の処理を介して、
なりすまし攻撃を可能とする脆弱性が存在します。
(CVE-2024-11695)
- Firefox および Thunderbird には、loadManifestFromFile()
メソッドの例外に対する考慮が欠落しているため、リモート
の攻撃者により、無効、もしくはサポートされていない拡張
機能マニフェストの利用を介して、関連のないアドオンの
署名検証の迂回を可能とする脆弱性が存在します。
(CVE-2024-11696)
- Firefox および Thunderbird には、キー押下イベントを処理
する際に、本来表示される実行ファイルの確認ダイアログ
の表示と実行確認を迂回できてしまう問題があるため、
リモートの攻撃者により、細工された Web コンテンツの
実行を介して、ユーザーを騙し、任意のコードの実行を可能
とする脆弱性が存在します。(CVE-2024-11697)
- Firefox および Thunderbird には、メモリ破壊の問題がある
ため、リモートの攻撃者により、任意のコードの実行を可能
とする脆弱性が存在します。(CVE-2024-11699)
パッケージをアップデートしてください。
An attacker could cause a select dropdown to be shown over another tab; this could have led to user confusion and possible spoofing attacks. This vulnerability affects Firefox < 133, Firefox ESR < 128.5, Thunderbird < 133, and Thunderbird < 128.5.
Enhanced Tracking Protection's Strict mode may have inadvertently allowed a CSP `frame-src` bypass and DOM-based XSS through the Google SafeFrame shim in the Web Compatibility extension. This issue could have exposed users to malicious frames masquerading as legitimate content. This vulnerability affects Firefox < 133, Firefox ESR < 128.5, Firefox ESR < 115.18, Thunderbird < 133, Thunderbird < 128.5, and Thunderbird < 115.18.
A crafted URL containing Arabic script and whitespace characters could have hidden the true origin of the page, resulting in a potential spoofing attack. This vulnerability affects Firefox < 133, Firefox ESR < 128.5, Thunderbird < 133, and Thunderbird < 128.5.
The application failed to account for exceptions thrown by the `loadManifestFromFile` method during add-on signature verification. This flaw, triggered by an invalid or unsupported extension manifest, could have caused runtime errors that disrupted the signature validation process. As a result, the enforcement of signature validation for unrelated add-ons may have been bypassed. Signature validation in this context is used to ensure that third-party applications on the user's computer have not tampered with the user's extensions, limiting the impact of this issue. This vulnerability affects Firefox < 133, Firefox ESR < 128.5, Thunderbird < 133, and Thunderbird < 128.5.
When handling keypress events, an attacker may have been able to trick a user into bypassing the "Open Executable File?" confirmation dialog. This could have led to malicious code execution. This vulnerability affects Firefox < 133, Firefox ESR < 128.5, Thunderbird < 133, and Thunderbird < 128.5.
Memory safety bugs present in Firefox 132, Firefox ESR 128.4, and Thunderbird 128.4. Some of these bugs showed evidence of memory corruption and we presume that with enough effort some of these could have been exploited to run arbitrary code. This vulnerability affects Firefox < 133, Firefox ESR < 128.5, Thunderbird < 133, and Thunderbird < 128.5.
N/A
Asianux Server 7 for x86_64
- firefox-128.5.1-1.0.1.el7.AXS7.x86_64.rpm
MD5: 546a72a3d70a7b878b93c96efbcbd46f
SHA-256: 1908965751f1e68e8fb71769bd6796b5ec54652549f52c682de6307e62912c60
Size: 143.95 MB
English