概要
リモートの SUSE ホストに 1 つ以上のセキュリティ更新がありません。
説明
リモートの SUSE Linux SLES12 / SLES_SAP12 ホストには、SUSE-SU-2022:3273-1 のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。
Mozilla Firefox が 102.2.0esr ESR に更新されました:
* 修正済み:さまざまな安定性、機能性、セキュリティの修正。
- MFSA 2022-34 (bsc#1202645)
* CVE-2022-38472 (bmo#1769155)XSLT エラー処理によるアドレスバースプーフィング
* CVE-2022-38473 (bmo#1771685)クロスオリジン XSLT ドキュメントが親の権限を継承していた可能性があります
* CVE-2022-38476 (bmo#1760998)PK11_ChangePW におけるデータ競合と潜在的な use-after-free
* CVE-2022-38477 (bmo#1760611、 bmo#1770219、 bmo#1771159、 bmo#1773363)Firefox 104 および Firefox ESR で修正されたメモリ安全性のバグ 102.2
* CVE-2022-38478 (bmo#1770630、 bmo#1776658)Firefox 104、Firefox ESR 102.2、Firefox ESR で修正されたメモリ安全性のバグ 91.13
Firefox 延長サポート版102.1 ESR
* 修正済み:さまざまな安定性、機能性、セキュリティの修正。
- MFSA 2022-30 (bsc#1201758)
* CVE-2022-36319 (bmo#1737722)CSS 変換によるマウス位置のなりすまし
* CVE-2022-36318 (bmo#1771774)バンドルされたリソースのディレクトリインデックスが URL パラメーターを反映
* CVE-2022-36314 (bmo#1773894)ローカルの <code>.lnk</code> ファイルを開くと、予期しないネットワーク負荷が発生する可能性があります
* CVE-2022-2505 (bmo#1769739、 bmo#1772824)Firefox 103 および Firefox 103 で修正されたメモリ安全性のバグ 102.1
- Firefox 延長サポート版 102.0.1 ESR
* 修正済み:ファイルエクスプローラーにドラッグして部分的に破損Windowsドロップすることによるブックマークショートカット作成を修正しました(bmo#1774683)
* 修正済み:ダークモードで開いたときにブックマークのサイドバーが白く点滅する問題を修正しました(bmo#1776157)
* 修正済み:英語および非ラテン文字両方のコンテンツで多言語スペルチェックが機能しない問題を修正しました(bmo#1773802)
* 修正済み:開発者ツール:最後に表示されたメッセージが評価結果である場合に、コンソール出力が一番下までスクロールし続ける問題を修正しました(bmo#1776262)
* 修正済み:*Firefox が閉じているときにクッキーとサイトデータを削除する* チェックボックスが起動時に無効になる問題を修正しました(bmo#1777419)
* 修正済み:さまざまな安定性の修正
Firefox 102.0 ESR:
* 新規:
- 現在は、より安全な接続を提供しています:Firefox は、Alt-Svc ヘッダーとして HTTPS RR を使用して、HTTPS に自動的にアップグレードできるようになりました。
- 視聴の楽しみを高めるために、多くのシステムでビデオ再生でフルレンジのカラーレベルがサポートされるようになりました。
- 今すぐ簡単に見つけてください! Mac ユーザーは、Firefox の [ファイル] メニューから macOS の共有オプションにアクセスできるようになりました。
- 出来上がり?! ICC v4 プロファイルを含むイメージのサポートは、macOS で有効になっています。
- Firefox は、最新のロイヤリティフリー AV1 ビデオコーデックに基づく新しい AVIF 画像形式をサポートするようになりました。既存の画像形式と比較して、サイトの帯域幅を大幅に節約できます。また、透明性やその他の高度な機能もサポートしています。
- Firefox PDF ビューアーは、より多くのフォームへの入力をサポートするようになりました(例えば、複数の政府や銀行で使用されている XFA ベースのフォームなど)。
詳細はこちら。
- 利用可能なシステムメモリが極度に少ない場合、Windows 上の Firefox は、最終アクセス時間、メモリ使用量、およびその他の属性に基づいてタブを自動的にアンロードします。これにより、Firefox メモリ不足によるクラッシュを減らすことができます。何か忘れましたか? ロードされていないタブに切り替えると、自動的にリロードされます。
- マウントされた .dmg ファイルから Firefox を実行している macOS ユーザーのセッション損失を防ぐために、インストールの完了を求めるメッセージが表示されるようになりました。この権限プロンプトは、これらのユーザーがコンピューターでFirefoxを初めて実行しているときにのみ表示されることに注意してください。
- 安全のため、Firefox は安全でない接続に依存するダウンロードをブロックし、潜在的に悪意のあるダウンロードまたは安全でないダウンロードから保護するようになりました。詳細と、Firefox でダウンロードを見つける場所を確認してください。
- SmartBlock 3.0 によるプライバシー保護のための Web 互換性の向上: プライベート ブラウジングと厳格なトラッキング保護において、Firefox は Web ブラウジング アクティビティをトラッカーから保護するために多大な努力を払っています。その一環として、組み込みのコンテンツ ブロッキングは、Disconnect が報告したクロスサイト追跡会社からサードパーティのスクリプト、画像、その他のコンテンツが読み込まれるのを自動的にブロックします。詳細はこちら。
- Strict Tracking Protection and Private Browsing に、新しいリファラトラッキング保護を導入します。この機能は、サイトが知らず知らずのうちにトラッカーに個人情報を漏洩することを防ぎます。詳細はこちら。
- Firefox Suggest は、アドレス バーに入力すると Web サイトの提案を提供する機能です。Web およびロケール固有の機能をすばやく操作するこの方法の詳細をご覧ください。
- Firefox macOS は、YouTube や Twitch などのサイトでフルスクリーン ビデオに Apple の低電力モードを使用するようになりました。これにより、長時間の視聴セッションでもバッテリー寿命が大幅に延びます。
これで、あなたの子供たちは、あなたがビートを逃すことなく、キツネがループで何を言っているかを知ることができます
- このリリースにより、パワーユーザーは、タブを閉じずに手動でアンロードすることで、about:unloads を使用してシステムリソースを解放できます。
- Windows では、Firefox が更新を求めないため、中断が少なくなります。代わりに、Firefox が閉じている場合でも、バックグラウンドエージェントが更新をダウンロードしてインストールします。
- Linux では、多くのユーザーの WebGL パフォーマンスを改善し、消費電力を削減しました。
- Spectre などのサイドチャネル攻撃からすべての Firefox ユーザーを保護するために、サイト分離を導入しました。
- メニュー、ボタン、または 3 キーコマンドを使用してブラウザを終了したり、ウィンドウを閉じたりしたときに、Firefox がデフォルトで警告することがなくなりました。これにより、歓迎されない通知が減るはずですが、これは常に良いことですが、少し通知したい場合は、終了/閉じるモーダル動作を完全に制御できます。すべての警告は Firefox Settings で管理できます。心配ない! 詳細については、こちらをご覧ください。
- Firefox は、Windows 11 で実行されているときに、新しいスナップ レイアウト メニューをサポートします。
- RLBoxサードパーティライブラリの潜在的なセキュリティ脆弱性に対して Firefox を強化する新しいテクノロジーが、すべてのプラットフォームで有効になりました。
- イベント処理中の Firefox と WindowServer の macOS の CPU 使用率を削減しました。
- また、macOS でのソフトウェアでデコードされたビデオ、特にフルスクリーンでのビデオの電力使用量も削減されました。これには、NetflixやAmazonプライムビデオなどのストリーミングサイトが含まれます。
- ピクチャーインピクチャートグルボタンをビデオの反対側に移動できるようになりました。新しいコンテキスト メニュー オプション「ピクチャー イン ピクチャー トグルを左側 (右) に移動」を探すだけです。
- ノイズ抑制と自動ゲイン制御を大幅に改善し、エコーキャンセリングをわずかに改善して、全体的なエクスペリエンスを向上させました。
- メインスレッドの負荷も大幅に低減しました。
- 印刷時に奇数/偶数ページのみ印刷できるようになりました。
- Firefox は、Windows 11 で新しいスタイルのスクロールバーをサポートし、表示するようになりました。
- Firefox には、新しく最適化されたダウンロードフローがあります。毎回プロンプトを表示する代わりに、ファイルは自動的にダウンロードされます。
ただし、ワンクリックでダウンロードパネルから開くことはできます。簡単! 詳細情報
- Firefox は、デフォルトで各ファイルに対して何をすべきかを尋ねることがなくなりました。
その種類のファイルのダウンロード アクション設定を変更しない限り、ファイルをダウンロードする前に、ヘルパー アプリケーションの選択またはディスクへの保存の指示は表示されません。
- ダウンロードしたファイルはすぐにディスクに保存されます。現在の構成に応じて、ダウンロードはご希望のダウンロードフォルダに保存されるか、ダウンロードごとに場所を選択するよう求められます。Windows および Linux ユーザーは、ダウンロードしたファイルを宛先フォルダーで見つけることができます。Temp フォルダーに配置されなくなります。
- Firefox では、ユーザーは多数の内蔵検索エンジンから選択してデフォルトとして設定できます。このリリースでは、以前にデフォルトのエンジンを設定していた一部のユーザーが、Mozilla が Firefox に特定の検索エンジンを含め続けるための正式な許可を確保できなかったため、デフォルトの検索エンジンが変更されたことに気付くかもしれません。
- キーボードショートカット「n」で ReaderMode のナレーションを切り替えることができるようになりました。
- PDF ビューアーで、発音区別符号の有無にかかわらず検索のサポートが追加されました。
- Linux サンドボックスが強化され、Web コンテンツに露出されたプロセスは、もはや X Window システムにアクセスできなくなりました(X11)。
- Firefox は、ドイツ、フランス、英国でクレジットカードの自動入力とキャプチャをサポートするようになりました。
- ピクチャーインピクチャーで視聴するYouTube、Prime Video、Netflixビデオでのキャプション/字幕の表示をサポートするようになりました。
ページ内のビデオプレーヤーで字幕をオンにするだけで、PiPに表示されます。
- ピクチャーインピクチャーは、Web Video Text Track(WebVTT)形式を使用するWebサイト(Coursera.org、Canadian Broadcasting Corporationなど)のビデオキャプションもサポートするようになりました。
- インストール後の最初の実行時に、Firefox は言語がオペレーティングシステムの言語と一致しないことを検出し、ユーザーに 2 つの言語の選択肢を提供します。
- Firefox のスペルチェックは、複数の言語のスペルをチェックするようになりました。追加の言語を有効にするには、テキストフィールドのコンテキストメニューでそれらの言語を選択します。
- HDR動画がMacのFirefoxでサポートされるようになりましたYouTubeから! macOS 11+ (HDR 互換画面) の Firefox ユーザーは、より忠実なビデオ コンテンツを楽しむことができます。HDRビデオサポートをオンにするために設定を手動で切り替える必要はありませんバッテリー設定が、バッテリー使用中にビデオストリーミングを最適化するように設定されていないことを確認してください。
- ハードウェア アクセラレーションによる AV1 ビデオ デコードは、サポートされている GPU (Intel Gen 11+、Navi 24 を除く AMD RDNA 2、GeForce 30) を備えた Windows で有効になっています。Microsoft Store から AV1 ビデオ拡張機能をインストールする必要がある場合もあります。
- Windows for Intel GPU ではビデオ オーバーレイが有効になり、ビデオ再生時の電力使用量が削減されます。
- 他のイベントのペインティングと処理の間の公平性を改善しました。これにより、Twitch のボリューム スライダーのパフォーマンスが大幅に向上します。
- Linux および Windows 11 のスクロールバーは、デフォルトでスペースを占有しません。Linux では、ユーザーは Settings でこれを変更できます。Windowsでは、Firefoxはシステム設定(システムSettings>アクセシビリティ>視覚効果>常にスクロールバーを表示します)に従います。
- Firefox は現在、リファラーからのプライバシー漏洩を防ぐために、unsafe-url、no-referrer-when-downgrade、origin-when-cross-origin リクエストの制限が少ないリファラーポリシーを無視します。
- prefers-contrast メディアクエリによる読み取りが簡単になりました。これにより、サイトは、ユーザーが Web コンテンツのコントラストをより高い(またはより低い)コントラストで表示するようにリクエストしたかどうかを検出できます。
- すべての構成されていない MIME タイプに、ダウンロードの完了時にカスタムアクションを割り当てることができるようになりました。
- Firefox では、ユーザーはビデオ会議中に必要な数のマイクを同時に使用できるようになりました。最もエキサイティングな利点は、いつでも簡単にマイクを切り替えることができることです (会議サービス プロバイダーがこの柔軟性を有効にしている場合)。
- 印刷プレビューが更新されました。
* 修正済み: さまざまなセキュリティ修正。
- MFSA 2022-24 (bsc#1200793)
* CVE-2022-34479 (bmo#1745595)ポップアップウィンドウのサイズを変更して、アドレスバーに Web コンテンツをオーバーレイさせることができます
* CVE-2022-34470 (bmo#1765951)nsSHistory での use-after-free
* CVE-2022-34468 (bmo#1768537)「allow-scripts」のない CSP サンドボックスヘッダーが、リターゲットされた javascript: URI を介してバイパスされる可能性があります
* CVE-2022-34482 (bmo#845880)悪意のあるイメージのドラッグアンドドロップにより、悪意のある実行可能ファイルや潜在的なコードの実行を引き起こす可能性があります
* CVE-2022-34483 (bmo#1335845)悪意のあるイメージのドラッグアンドドロップにより、悪意のある実行可能ファイルや潜在的なコードの実行を引き起こす可能性があります
* CVE-2022-34476 (bmo#1387919)ASN.1 パーサーが騙されて、無効な形式の ASN.1 を受け入れる可能性があります
* CVE-2022-34481 (bmo#1483699、 bmo#1497246)ReplaceElementsAt での整数オーバーフローの可能性
* CVE-2022-34474 (bmo#1677138)サンドボックス化された iframe が外部スキームにリダイレクトされる可能性があります。
* CVE-2022-34469 (bmo#1721220)HSTS 保護ドメインのTLS証明書エラーが、Android 用 Firefox のユーザーによってバイパスされる可能性があります
* CVE-2022-34471 (bmo#1766047)セキュリティ上、危険にさらされたサーバーが、ブラウザを騙してアドオンをダウングレードさせる可能性があります
* CVE-2022-34472 (bmo#1770123)PAC ファイルが利用できないため、OCSP リクエストがブロックされていました
* ユーザーがプロンプトを受け入れた場合、 CVE-2022-34478 (bmo#1773717)Microsoftプロトコルが攻撃される可能性があります
* CVE-2022-2200 (bmo#1771381)プロトタイプ汚染の一部として、望ましくない属性が設定される可能性があります
* CVE-2022-34480 (bmo#1454072)lg_initの初期化されていないポインターの解放
* CVE-2022-34477 (bmo#1731614)MediaError メッセージプロパティが、クロスオリジン同一サイトページに情報を漏洩しました
* CVE-2022-34475 (bmo#1757210)HTML サニタイザーが use タグを介して、同一生成元スクリプトを介してバイパスされる可能性があります
* CVE-2022-34473 (bmo#1770888)HTML サニタイザーが use タグによりバイパスされる可能性があります
* CVE-2022-34484 (bmo#1763634、 bmo#1772651)Firefox 102 および Firefox ESR で修正されたメモリ安全性のバグ 91.11
* CVE-2022-34485 (bmo#1768409、 bmo#1768578)Firefox 102 で修正されたメモリ安全性のバグ
Tenable は、前述の記述ブロックを SUSE セキュリティアドバイザリから直接抽出しています。
Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。
ソリューション
影響を受ける MozillaFirefox、MozillaFirefox-branding-SLE、MozillaFirefox-devel および / または MozillaFirefox- translations-common パッケージを更新してください。
プラグインの詳細
ファイル名: suse_SU-2022-3273-1.nasl
エージェント: unix
サポートされているセンサー: Agentless Assessment, Continuous Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Tenable Cloud Security, Tenable Self-Hosted Container Security, Nessus
リスク情報
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C
脆弱性情報
CPE: cpe:/o:novell:suse_linux:12, p-cpe:/a:novell:suse_linux:mozillafirefox, p-cpe:/a:novell:suse_linux:mozillafirefox-branding-sle, p-cpe:/a:novell:suse_linux:mozillafirefox-devel, p-cpe:/a:novell:suse_linux:mozillafirefox-translations-common
必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list
エクスプロイトの容易さ: Exploits are available
参照情報
CVE: CVE-2022-2200, CVE-2022-2505, CVE-2022-34468, CVE-2022-34469, CVE-2022-34470, CVE-2022-34471, CVE-2022-34472, CVE-2022-34473, CVE-2022-34474, CVE-2022-34475, CVE-2022-34476, CVE-2022-34477, CVE-2022-34478, CVE-2022-34479, CVE-2022-34480, CVE-2022-34481, CVE-2022-34482, CVE-2022-34483, CVE-2022-34484, CVE-2022-34485, CVE-2022-36314, CVE-2022-36318, CVE-2022-36319, CVE-2022-38472, CVE-2022-38473, CVE-2022-38476, CVE-2022-38477, CVE-2022-38478
SuSE: SUSE-SU-2022:3273-1