firefox-128.5.1-1.el9_5.ML.1
エラータID: AXSA:2024-9493:42
以下項目について対処しました。
[Security Fix]
- Firefox および Thunderbird には、ドロップダウンリスト
を別のタブの上に表示できてしまう問題があるため、リモート
の攻撃者により、なりすまし攻撃を可能とする脆弱性が存在
します。(CVE-2024-11692)
- Firefox および Thunderbird のトラッキングの強化保護
モードの処理には、"frame-src" CSP の迂回を許容してしまう
問題があるため、リモートの攻撃者により、Web 互換性拡張
機能を介して、クロスサイトスクリプティング攻撃を可能と
する脆弱性が存在します。(CVE-2024-11694)
- Firefox および Thunderbird には、ページのオリジン
を隠してしまう問題があるため、リモートの攻撃者により、
アラビア文字および空白文字を含む細工された URL の処理
を介して、なりすまし攻撃を可能とする脆弱性が存在します。
(CVE-2024-11695)
- Firefox および Thunderbird には、
loadManifestFromFile() メソッドの例外に対する考慮が欠落
しているため、リモートの攻撃者により、無効、もしくは
サポートされていない拡張機能マニフェストの利用を介して、
関連のないアドオンの署名検証の迂回を可能とする脆弱性が
存在します。(CVE-2024-11696)
- Firefox および Thunderbird には、キー押下イベントを
処理する際に、本来表示される実行ファイルの確認ダイアログ
の表示と実行確認を迂回できてしまう問題があるため、
リモートの攻撃者により、細工された Web コンテンツの実行
を介して、ユーザーを騙し、任意のコードの実行を可能とする
脆弱性が存在します。(CVE-2024-11697)
- Firefox および Thunderbird には、メモリ破壊の問題が
あるため、リモートの攻撃者により、任意のコードの実行を
可能とする脆弱性が存在します。(CVE-2024-11699)
パッケージをアップデートしてください。
An attacker could cause a select dropdown to be shown over another tab; this could have led to user confusion and possible spoofing attacks. This vulnerability affects Firefox < 133, Firefox ESR < 128.5, Thunderbird < 133, and Thunderbird < 128.5.
Enhanced Tracking Protection's Strict mode may have inadvertently allowed a CSP `frame-src` bypass and DOM-based XSS through the Google SafeFrame shim in the Web Compatibility extension. This issue could have exposed users to malicious frames masquerading as legitimate content. This vulnerability affects Firefox < 133, Firefox ESR < 128.5, Firefox ESR < 115.18, Thunderbird < 133, Thunderbird < 128.5, and Thunderbird < 115.18.
A crafted URL containing Arabic script and whitespace characters could have hidden the true origin of the page, resulting in a potential spoofing attack. This vulnerability affects Firefox < 133, Firefox ESR < 128.5, Thunderbird < 133, and Thunderbird < 128.5.
The application failed to account for exceptions thrown by the `loadManifestFromFile` method during add-on signature verification. This flaw, triggered by an invalid or unsupported extension manifest, could have caused runtime errors that disrupted the signature validation process. As a result, the enforcement of signature validation for unrelated add-ons may have been bypassed. Signature validation in this context is used to ensure that third-party applications on the user's computer have not tampered with the user's extensions, limiting the impact of this issue. This vulnerability affects Firefox < 133, Firefox ESR < 128.5, Thunderbird < 133, and Thunderbird < 128.5.
When handling keypress events, an attacker may have been able to trick a user into bypassing the "Open Executable File?" confirmation dialog. This could have led to malicious code execution. This vulnerability affects Firefox < 133, Firefox ESR < 128.5, Thunderbird < 133, and Thunderbird < 128.5.
Memory safety bugs present in Firefox 132, Firefox ESR 128.4, and Thunderbird 128.4. Some of these bugs showed evidence of memory corruption and we presume that with enough effort some of these could have been exploited to run arbitrary code. This vulnerability affects Firefox < 133, Firefox ESR < 128.5, Thunderbird < 133, and Thunderbird < 128.5.
N/A
SRPMS
- firefox-128.5.1-1.el9_5.ML.1.src.rpm
MD5: 9450e17a42461f1c7e8a81d26d0ab0c7
SHA-256: a6f6ef5dbc8ab9995828344e3a34ade6c76efe3043e9897b51e790a7f391b99f
Size: 946.57 MB
Asianux Server 9 for x86_64
- firefox-128.5.1-1.el9_5.ML.1.x86_64.rpm
MD5: d7bfae90a00e47df2c1d9a90ba9d7186
SHA-256: 757f632a9b75628543720ec9a486008f976a94be6bf63cdc5bc22136ac3ac2ce
Size: 123.32 MB - firefox-x11-128.5.1-1.el9_5.ML.1.x86_64.rpm
MD5: 5e804fae7e4b81953f089c30abadc4b2
SHA-256: b761f3fa40dcfd5095452a6b62185202d1d11cd8ff7bf81d9656c75e5d6a8c50
Size: 13.19 kB
English