firefox-38.4.0-1.0.1.el7.AXS7

以下項目について対処しました。

[Security Fix]
- Mozilla Firefox のブラウザエンジンには複数の脆弱性が存在し，リモート
の攻撃者がサービス拒否 (メモリ破壊とアプリケーションのクラッシュ) を引
き起こす，あるいは任意のコードを実行する可能性があります。(CVE-2015-4513)

- Mozilla Firefox には，IP アドレスの文字列に空白文字を付加することに
よって，リモートの攻撃者が IP アドレス起源に対する同一配信元ポリシー
を回避し，クロスサイトスクリプティング (XSS) 攻撃を行う脆弱性がありま
す。(CVE-2015-7188)

- Mozilla Firefox の JPEGEncoder 関数には，競合条件が存在し，CANVAS
要素と巧妙に細工された JavaScript コードを含む要因によって，リモートの
攻撃者が任意のコードを実行する，あるいはサービス拒否 (ヒープベースのバッ
ファーオーバーフロー) を引き起こす脆弱性があります。(CVE-2015-7189)

- Mozilla Firefox には，詳細不明な Content-Type ヘッダ操作を含む場合に，
POST メソッドに対して CORS クロスオリジンリクエストアルゴリズムに従い，
preflight-request ステップの欠如を利用することによって，リモートの攻撃
者が同一配信元ポリシーを迂回する脆弱性があります。(CVE-2015-7193)

- Mozilla Firefox の libjar には，バッファーアンダーフローが存在し，巧
妙に細工された ZIP アーカイブによって，リモートの攻撃者がサービス拒否
(アプリケーションのクラッシュ) を引き起こす，あるいは任意のコードを実行
する可能性のある脆弱性があります。(CVE-2015-7194)

- Java プラグインが有効な場合，使用中の JavaScript ラッパーの割り当て
を解除する巧妙に細工された Java アプレットによって，リモートの攻撃者が
サービス拒否 (誤ったガベージコレクションとアプリケーションのクラッシュ)
を引き起こす，あるいは任意のコードを実行する可能性のある脆弱性があり
ます。(CVE-2015-7196)

- Mozilla Firefox は WebSocket オブジェクトを作成するための web ワー
カーの能力を不適切に制御し，巧妙に細工された JavaScript コードによって，
リモートの攻撃者が意図された混在コンテンツ制限を迂回する脆弱性がありま
す。(CVE-2015-7197)

- Mozilla Firefox で使用されている ANGLE の rx::TextureStorage11
クラスでバッファーオーバーフローが存在し，巧妙に細工されたテクスチャ
データによって，リモートの攻撃者がサービス拒否 (メモリ破壊) あるいは
詳細不明な他の影響を与える可能性のある脆弱性があります。
(CVE-2015-7198)

- Mozilla Firefox の (1) AddWeightedPathSegLists (2)
SVGPathSegListSMILType::Interpolate 関数には，ステータスチェックが欠け
ており，巧妙に細工された SVG ドキュメントにより，リモートの攻撃者がサービ
ス拒否 (メモリ破壊) を引き起こす，あるいは詳細不明な他の影響を与える可能
性のある脆弱性があります。(CVE-2015-7199)

- Mozilla Firefox の CryptoKey インターフェース実装には，ステータス
チェックが欠けており，暗号キーに関連する要因によって，詳細不明な影響を
与える脆弱性があります。(CVE-2015-7200)

一部CVEの翻訳文はJVNからの引用になります。
http://jvndb.jvn.jp/