firefox-140.7.0-1.el8_10.ML.1

エラータID: AXSA:2026-056:02

リリース日: 
2026/01/21 Wednesday - 13:57
題名: 
firefox-140.7.0-1.el8_10.ML.1
影響のあるチャネル: 
Asianux Server 8 for x86_64
Severity: 
High
Description: 

以下項目について対処しました。

[Security Fix]
- Firefox および Thunderbird の Downloads Panel コンポーネント
には、利用者のなりすましを許容してしまう問題があるため、リモート
の攻撃者により、不正な認証を可能とする脆弱性が存在します。
(CVE-2025-14327)

- Firefox および Thunderbird の DOM の Security コンポーネント
には、保護メカニズムの不具合があるため、リモートの攻撃者により、
情報の漏洩、データ破壊、およびサービス拒否攻撃を可能とする脆弱性
が存在します。(CVE-2026-0877)

- Firefox および Thunderbird の Graphics の CanvasWebGL
コンポーネントには、入力データのチェック処理に不備があるため、
リモートの攻撃者により、情報の漏洩、データ破壊、およびサービス
拒否攻撃を可能とする脆弱性が存在します。(CVE-2026-0878)

- Firefox および Thunderbird の Graphics コンポーネントには、
メモリ領域の範囲外アクセスの問題があるため、リモートの攻撃者
により、情報の漏洩、データ破壊、およびサービス拒否攻撃を可能と
する脆弱性が存在します。(CVE-2026-0879)

- Firefox および Thunderbird の Graphics コンポーネントには、
整数オーバーフローの問題があるため、リモートの攻撃者により、
情報の漏洩、データ破壊、およびサービス拒否攻撃を可能とする
脆弱性が存在します。(CVE-2026-0880)

- Firefox および Thunderbird の IPC コンポーネントには、メモリ
領域の解放後利用の問題があるため、リモートの攻撃者により、情報の
漏洩、データ破壊、およびサービス拒否攻撃を可能とする脆弱性が存在
します。(CVE-2026-0882)

- Firefox および Thunderbird の Networking コンポーネントには、
リモートの攻撃者により、情報の漏洩を可能とする脆弱性が存在します。
(CVE-2026-0883)

- Firefox および Thunderbird の JavaScript Engine コンポーネント
には、メモリ領域の解放後利用の問題があるため、リモートの攻撃者に
より、情報の漏洩、およびデータ破壊を可能とする脆弱性が存在します。
(CVE-2026-0884)

- Firefox および Thunderbird の JavaScript の GC コンポーネント
には、メモリ領域の解放後利用の問題があるため、リモートの攻撃者に
より、情報の漏洩、およびデータ破壊を可能とする脆弱性が存在します。
(CVE-2026-0885)

- Firefox および Thunderbird の Graphics コンポーネントには、
メモリ領域の範囲外アクセスの問題があるため、リモートの攻撃者
により、情報の漏洩、およびデータ破壊を可能とする脆弱性が存在
します。(CVE-2026-0886)

- Firefox および Thunderbird の PDF Viewer コンポーネントには、
リモートの攻撃者により、情報の漏洩、およびデータ破壊を可能とする
脆弱性が存在します。(CVE-2026-0887)

- Firefox および Thunderbird の DOM の Copy & Paste および
Drag & Drop コンポーネントには、利用者のなりすましを許容して
しまう問題があるため、リモートの攻撃者により、不正な認証を可能
とする脆弱性が存在します。(CVE-2026-0890)

- Firefox および Thunderbird には、メモリ領域の範囲外アクセスの
問題があるため、リモートの攻撃者により、情報の漏洩、データ破壊、
およびサービス拒否攻撃を可能とする脆弱性が存在します。
(CVE-2026-0891)

解決策: 

パッケージをアップデートしてください。

CVE: 
CVE-2025-14327
Spoofing issue in the Downloads Panel component. This vulnerability affects Firefox < 146, Thunderbird < 146, Firefox ESR < 140.7, and Thunderbird < 140.7.
CVE-2026-0877
Mitigation bypass in the DOM: Security component. This vulnerability affects Firefox < 147, Firefox ESR < 115.32, Firefox ESR < 140.7, Thunderbird < 147, and Thunderbird < 140.7.
CVE-2026-0878
Sandbox escape due to incorrect boundary conditions in the Graphics: CanvasWebGL component. This vulnerability affects Firefox < 147, Firefox ESR < 140.7, Thunderbird < 147, and Thunderbird < 140.7.
CVE-2026-0879
Sandbox escape due to incorrect boundary conditions in the Graphics component. This vulnerability affects Firefox < 147, Firefox ESR < 115.32, Firefox ESR < 140.7, Thunderbird < 147, and Thunderbird < 140.7.
CVE-2026-0880
Sandbox escape due to integer overflow in the Graphics component. This vulnerability affects Firefox < 147, Firefox ESR < 115.32, Firefox ESR < 140.7, Thunderbird < 147, and Thunderbird < 140.7.
CVE-2026-0882
Use-after-free in the IPC component. This vulnerability affects Firefox < 147, Firefox ESR < 115.32, Firefox ESR < 140.7, Thunderbird < 147, and Thunderbird < 140.7.
CVE-2026-0883
Information disclosure in the Networking component. This vulnerability affects Firefox < 147, Firefox ESR < 140.7, Thunderbird < 147, and Thunderbird < 140.7.
CVE-2026-0884
Use-after-free in the JavaScript Engine component. This vulnerability affects Firefox < 147, Firefox ESR < 140.7, Thunderbird < 147, and Thunderbird < 140.7.
CVE-2026-0885
Use-after-free in the JavaScript: GC component. This vulnerability affects Firefox < 147, Firefox ESR < 140.7, Thunderbird < 147, and Thunderbird < 140.7.
CVE-2026-0886
Incorrect boundary conditions in the Graphics component. This vulnerability affects Firefox < 147, Firefox ESR < 115.32, Firefox ESR < 140.7, Thunderbird < 147, and Thunderbird < 140.7.
CVE-2026-0887
Clickjacking issue, information disclosure in the PDF Viewer component. This vulnerability affects Firefox < 147, Firefox ESR < 140.7, Thunderbird < 147, and Thunderbird < 140.7.
CVE-2026-0890
Spoofing issue in the DOM: Copy & Paste and Drag & Drop component. This vulnerability affects Firefox < 147, Firefox ESR < 140.7, Thunderbird < 147, and Thunderbird < 140.7.
CVE-2026-0891
Memory safety bugs present in Firefox ESR 140.6, Thunderbird ESR 140.6, Firefox 146 and Thunderbird 146. Some of these bugs showed evidence of memory corruption and we presume that with enough effort some of these could have been exploited to run arbitrary code. This vulnerability affects Firefox < 147, Firefox ESR < 140.7, Thunderbird < 147, and Thunderbird < 140.7.
追加情報: 

N/A

ダウンロード: 

SRPMS
  1. firefox-140.7.0-1.el8_10.ML.1.src.rpm
    MD5: f6a6e3ac4dd3d6c4bc88941bb4ac1cc3
    SHA-256: cbf7f639d18910e38ca7a63e2f1926805b7c9dfa4cb9998f2c8c72ac4f3b470a
    Size: 0.99 GB

Asianux Server 8 for x86_64
  1. firefox-140.7.0-1.el8_10.ML.1.x86_64.rpm
    MD5: f194437d135f4d81fd595b7c96031691
    SHA-256: b42eafa85825dfd23bfd3a9c9b8215327bcd79ca921fa0061b375af3a7f1c9b9
    Size: 118.89 MB