firefox-38.3.0-2.0.1.el7.AXS7
エラータID: AXSA:2015-505:02
リリース日:
2015/10/02 Friday - 11:48
題名:
firefox-38.3.0-2.0.1.el7.AXS7
影響のあるチャネル:
Asianux Server 7 for x86_64
Severity:
High
Description:
以下項目について対処しました。
[Security Fix]
- Mozilla Firefox のブラウザエンジンには,リモートの攻撃者がサービス
拒否(メモリ破壊とアプリケーションのクラッシュ)を引き起こす,あるいは
任意のコードを実行する可能性のある,複数の詳細不明な脆弱性があります。
(CVE-2015-4500)
- libvpx の vp9_init_context_buffers 関数にはバッファーオーバーフロー
が存在し,巧妙に細工された VP9 ファイルによって,リモートの攻撃者が任意
のコードを実行する脆弱性があります。 (CVE-2015-4506)
- Mozilla Firefox の HTMLVideoElement インターフェースには,開放後使用
脆弱性が存在し,メディア要素の URI テーブルを変更する,巧妙に細工された
JavaScript コードによって,リモートの攻撃者が任意のコードを実行する脆弱
性があります。(CVE-2015-4509)
- Mozilla Firefox の WorkerPrivate::NotifyFeature
関数には競合状態が存在し,shared workers と IndexedDB 実装間の不正な
相互作用の影響 (leverage) により,リモートの攻撃者が任意のコードを実行
する,あるいはサービス拒否 (開放後使用とアプリケーションクラッシュ) を
引き起こす脆弱性があります。(CVE-2015-4510)
一部CVEの翻訳文はJVNからの引用になります。
http://jvndb.jvn.jp/
解決策:
パッケージをアップデートしてください。
CVE:
CVE-2015-4500
Multiple unspecified vulnerabilities in the browser engine in Mozilla Firefox before 41.0 and Firefox ESR 38.x before 38.3 allow remote attackers to cause a denial of service (memory corruption and application crash) or possibly execute arbitrary code via unknown vectors.
Multiple unspecified vulnerabilities in the browser engine in Mozilla Firefox before 41.0 and Firefox ESR 38.x before 38.3 allow remote attackers to cause a denial of service (memory corruption and application crash) or possibly execute arbitrary code via unknown vectors.
CVE-2015-4509
Use-after-free vulnerability in the HTMLVideoElement interface in Mozilla Firefox before 41.0 and Firefox ESR 38.x before 38.3 allows remote attackers to execute arbitrary code via crafted JavaScript code that modifies the URI table of a media element, aka ZDI-CAN-3176.
Use-after-free vulnerability in the HTMLVideoElement interface in Mozilla Firefox before 41.0 and Firefox ESR 38.x before 38.3 allows remote attackers to execute arbitrary code via crafted JavaScript code that modifies the URI table of a media element, aka ZDI-CAN-3176.
CVE-2015-4510
Race condition in the WorkerPrivate::NotifyFeatures function in Mozilla Firefox before 41.0 allows remote attackers to execute arbitrary code or cause a denial of service (use-after-free and application crash) by leveraging improper interaction between shared workers and the IndexedDB implementation.
Race condition in the WorkerPrivate::NotifyFeatures function in Mozilla Firefox before 41.0 allows remote attackers to execute arbitrary code or cause a denial of service (use-after-free and application crash) by leveraging improper interaction between shared workers and the IndexedDB implementation.
追加情報:
N/A
ダウンロード:
SRPMS
- firefox-38.3.0-2.0.1.el7.AXS7.src.rpm
MD5: 06d9d0098ff12d481ac4570760729562
SHA-256: 2c6c01eaf364aa76dfc5e9a1bc83d2bd605fbd459ec00a4572d3c14e0234ce82
Size: 206.33 MB
Asianux Server 7 for x86_64
- firefox-38.3.0-2.0.1.el7.AXS7.x86_64.rpm
MD5: 9eb8766d0f0dbb11c8ae395f6f0fb0b5
SHA-256: ee45d3f6eb33219edd4892febdeddd32f659605b9663311f4fc9dcd4465accf1
Size: 71.56 MB - firefox-38.3.0-2.0.1.el7.AXS7.i686.rpm
MD5: 30451c4e608e7beb6aabb8eea5b99c31
SHA-256: 1d28003e09c1f78c9ac9ac8cb61eebbd4b30e9027207293849e381d8ca98f679
Size: 71.75 MB