thunderbird-128.7.0-1.el9_5.ML.1

エラータID: AXSA:2025-9664:04

リリース日: 
2025/02/17 Monday - 12:42
題名: 
thunderbird-128.7.0-1.el9_5.ML.1
影響のあるチャネル: 
MIRACLE LINUX 9 for x86_64
Severity: 
High
Description: 

以下項目について対処しました。

[Security Fix]
- Thunderbird のメールの差出人フィールドの表記機能には、
誤った送信者のメールアドレスを表示してしまう問題がある
ため、リモートの攻撃者により、無効なグループ名構文を含む
メールの送信を介して、送信者の詐称を可能とする脆弱性が
存在します。(CVE-2025-0510)

- Firefox および Thunderbird には、メモリ領域の解放後
利用の問題があるため、リモートの攻撃者により、細工された
XSLT 形式のデータの処理を介して、サービス拒否攻撃
(クラッシュの発生) などを可能とする脆弱性が存在します。
(CVE-2025-1009)

- Firefox および Thunderbird のカスタムハイライト API
には、メモリ領域の解放後利用の問題があるため、リモートの
攻撃者により、サービス拒否攻撃 (クラッシュの発生) などを
可能とする脆弱性が存在します。(CVE-2025-1010)

- Firefox および Thunderbird の WebAssembly コード
生成機能には、リモートの攻撃者により、細工された Web
コンテンツの処理を介して、任意の WebAssembly コードの
実行を可能とする脆弱性が存在します。(CVE-2025-1011)

- Firefox および Thunderbird の特定の処理には、レース
コンディションに起因するメモリ領域の解放後利用の問題が
あるため、リモートの攻撃者により、情報の漏洩、データ破壊、
およびサービス拒否攻撃などを可能とする脆弱性が存在します。
(CVE-2025-1012)

- Firefox および Thunderbird には、レースコンディション
に起因して意図せずプライベートウィンドウやタブから通常の
タブやウィンドウが開かれてしまう問題があるため、リモート
の攻撃者により、細工された Web コンテンツの処理を介して、
情報の漏洩を可能とする脆弱性が存在します。
(CVE-2025-1013)

- Firefox および Thunderbird には、証明書ストアに証明書
を追加する際のデータ長のチェック処理に問題があるため、
リモートの攻撃者により、細工された証明書のインストール
を介して、不正な認証などを可能とする脆弱性が存在します。
(CVE-2025-1014)

- Thunderbird のアドレス帳の URI フィールドには、
サニタイズされていないリンクを表示してしまう問題がある
ため、リモートの攻撃者により、細工された URI を含む
アドレス帳のインポートを介して、不正な Web ページの閲覧、
および不正な JavaScript コードの実行を可能とする脆弱性
が存在します。(CVE-2025-1015)

- Firefox および Thunderbird には、メモリ破壊の問題が
あるため、リモートの攻撃者により、任意のコードの実行
を可能とする脆弱性が存在します。(CVE-2025-1016)

- Firefox および Thunderbird には、メモリ破壊の問題が
あるため、リモートの攻撃者により、任意のコードの実行
を可能とする脆弱性が存在します。(CVE-2025-1017)

解決策: 

パッケージをアップデートしてください。

CVE: 
CVE-2025-0510
Thunderbird displayed an incorrect sender address if the From field of an email used the invalid group name syntax that is described in CVE-2024-49040. This vulnerability affects Thunderbird < 128.7 and Thunderbird < 135.
CVE-2025-1009
An attacker could have caused a use-after-free via crafted XSLT data, leading to a potentially exploitable crash. This vulnerability affects Firefox < 135, Firefox ESR < 115.20, Firefox ESR < 128.7, Thunderbird < 128.7, and Thunderbird < 135.
CVE-2025-1010
An attacker could have caused a use-after-free via the Custom Highlight API, leading to a potentially exploitable crash. This vulnerability affects Firefox < 135, Firefox ESR < 115.20, Firefox ESR < 128.7, Thunderbird < 128.7, and Thunderbird < 135.
CVE-2025-1011
A bug in WebAssembly code generation could have lead to a crash. It may have been possible for an attacker to leverage this to achieve code execution. This vulnerability affects Firefox < 135, Firefox ESR < 128.7, Thunderbird < 128.7, and Thunderbird < 135.
CVE-2025-1012
A race during concurrent delazification could have led to a use-after-free. This vulnerability affects Firefox < 135, Firefox ESR < 115.20, Firefox ESR < 128.7, Thunderbird < 128.7, and Thunderbird < 135.
CVE-2025-1013
A race condition could have led to private browsing tabs being opened in normal browsing windows. This could have resulted in a potential privacy leak. This vulnerability affects Firefox < 135, Firefox ESR < 128.7, Thunderbird < 128.7, and Thunderbird < 135.
CVE-2025-1014
Certificate length was not properly checked when added to a certificate store. In practice only trusted data was processed. This vulnerability affects Firefox < 135, Firefox ESR < 128.7, Thunderbird < 128.7, and Thunderbird < 135.
CVE-2025-1015
The Thunderbird Address Book URI fields contained unsanitized links. This could be used by an attacker to create and export an address book containing a malicious payload in a field. For example, in the “Other” field of the Instant Messaging section. If another user imported the address book, clicking on the link could result in opening a web page inside Thunderbird, and that page could execute (unprivileged) JavaScript. This vulnerability affects Thunderbird < 128.7.
CVE-2025-1016
Memory safety bugs present in Firefox 134, Thunderbird 134, Firefox ESR 115.19, Firefox ESR 128.6, Thunderbird 115.19, and Thunderbird 128.6. Some of these bugs showed evidence of memory corruption and we presume that with enough effort some of these could have been exploited to run arbitrary code. This vulnerability affects Firefox < 135, Firefox ESR < 115.20, Firefox ESR < 128.7, Thunderbird < 128.7, and Thunderbird < 135.
CVE-2025-1017
Memory safety bugs present in Firefox 134, Thunderbird 134, Firefox ESR 128.6, and Thunderbird 128.6. Some of these bugs showed evidence of memory corruption and we presume that with enough effort some of these could have been exploited to run arbitrary code. This vulnerability affects Firefox < 135, Firefox ESR < 128.7, Thunderbird < 128.7, and Thunderbird < 135.
追加情報: 

N/A

ダウンロード: 

SRPMS
  1. thunderbird-128.7.0-1.el9_5.ML.1.src.rpm
    MD5: 27e8ad24502ae39fe7e8b910c12d69ca
    SHA-256: 7b5968f3854ca49f85e8f3c99773b4e293d583e5aa7041b7e10cf638565879d1
    Size: 851.18 MB

Asianux Server 9 for x86_64
  1. thunderbird-128.7.0-1.el9_5.ML.1.x86_64.rpm
    MD5: 2bf1ea5c14f2060a06743de423b95dba
    SHA-256: cadfcca12473eb3dc220a0f4614112cccfe4f0bea9e7fe6cfabccb9cf92e6d16
    Size: 117.97 MB