概要
リモートの SUSE ホストに 1 つ以上のセキュリティ更新がありません。
説明
リモートの SUSE Linux SLES15 / SLES_SAP15 ホストには、SUSE-SU-2023:2849-1 のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。
MozillaFirefox および MozillaFirefox-branding-SLE の変更:
この更新は、Firefox 拡張サポートリリース 115.0 ESR を提供します
* 新規:
- 必須フィールドが PDF フォームでハイライトされるようになりました。
- 高リフレッシュレートモニター(120Hz+)のパフォーマンスを改善しました。
- タブツールバーのボタンは、Tab、Shift+Tab、方向キーで到達できるようになりました。詳細については、この記事を参照してください。
- Windows の「テキストを大きくする」アクセシビリティ設定が、システムのフォントサイズのみに適用されるのではなく、すべての UI とコンテンツページに影響を与えるようになりました。
- 現在は、改行のないスペースが保持されますフォームコントロールからテキストをコピーする際の自動改行を防止します。
- Linux の DMA-Buf を介して、NVIDIA バイナリドライバーの WebGL パフォーマンスの問題を修正しました。
- Web コンテンツローカルストレージの処理によって Firefox の起動が大幅に遅くなる可能性がある問題を修正しました。これは、プラッター ハード ドライブと大量のローカル ストレージを使用するユーザーに最も大きな影響を与えました。
- 証明書に SHA-1 署名を許可する構成オプションを削除しました:十分に安全ではないと判断されて長い間以来、証明書の SHA-1 署名は現在サポートされていません。
- Yahoo メールと Outlook のメールコンポーザで「Enter」を入力した後、ハイライト色が正しく保持されます。
https のみのエラーページをバイパスした後、戻って移動すると、以前は無視されていたエラーページに移動します。戻ると、以前にアクセスしたサイトに移動します。
- 書式設定のないショートカットの貼り付け(shift+ctrl/cmd+v)が、入力やテキスト領域などの平文コンテキストで機能するようになりました。
- 印刷プレビューダイアログから現在のページのみを印刷するオプションを追加しました。
- Windowsでスワイプして移動する(タッチパッドの上で2本の指を左右にスワイプして履歴を前後に実行)が有効になりました。
- Firefox がメモリ不足の状況をはるかにうまく処理するため、Windows での安定性が大幅に向上します。
- macOS でのタッチパッド スクロールは、意図したスクロール軸とは反対の意図しない斜めスクロールを減らすことで、よりアクセスしやすくなりました。
- Firefox は、Linux でメモリを使い果たす可能性が低く、メモリが少なくなると、システムの残りの部分でより効率的に実行されます。
- テキストの書き込み、描画、署名の追加など、PDF の編集ができるようになりました。
- Firefox をデフォルトのブラウザとして設定すると、Windows システムのデフォルトの PDF アプリケーションにもなります。
- スワイプしてナビゲーション (タッチパッドの上で 2 本の指を左右にスワイプして履歴を前後に実行する) が Wayland の Linux ユーザーで機能するようになりました。
- 画像内のテキスト認識を使用すると、macOS 10.15 以降のユーザーは、選択した画像からテキスト (ミームやスクリーンショットなど) を抽出できます。
- Firefox View は、以前に発見したコンテンツに戻るのに役立ちます。ピン留めされたタブを使用すると、現在のデバイスで最近閉じたタブを検索して開いたり、他のデバイスからタブにアクセスしたりできます (タブ ピックアップ機能経由)。
- Web ページが JavaScript インポートの挙動をコントロールすることを可能にするインポートマップが、デフォルトで有効になりました。
- バックグラウンドタブに使用されるプロセスが Windows 11 で効率モードを使用して、リソースの使用を制限するようになりました。
- shift+esc キーボードショートカットでプロセスマネージャーが開くようになり、過剰なリソースを使用しているプロセスをすばやく特定する方法が提供されます。
- Firefox は、ICCv4 プロファイルでタグ付けされた画像の適切な色補正をサポートするようになりました。
- PDF フォームを保存および印刷する際の英語以外の文字をサポートします。
- ブックマークツールバーのデフォルトの「新しいタブにのみ表示」状態が、空白の新しいタブで正しく機能します。以前と同様に、ツールバーのコンテキストメニューを使用してブックマークツールバーの動作を変更できます。
- Manifest バージョン 3(MV3)拡張サポートがデフォルトで有効になりました(MV2 は有効/サポートされたままです)。このメジャーアップデートでは、新しい拡張機能ボタンの形でエキサイティングなユーザーインターフェイスの変更も行われます。
- メディア再生ユーティリティプロセスで任意のコードガードの悪用保護が有効になり、Windows ユーザーのセキュリティが向上しました。
- 日付および日時入力用のネイティブ HTML 日付ピッカーが、キーボードだけで使用できるようになり、スクリーンリーダーユーザーのアクセシビリティが向上します。身体の不自由なユーザーは、一般的なキーボードショートカットを使用してカレンダーグリッドや月選択スピナーを操作できるようになりました。
- スペインのスペイン語(es-ES)およびアルゼンチンのスペイン語(es-AR)ロケールの Firefox ビルドには、Firefox スペルチェッカー用の書き込み辞書が付属しています。
- macOS では、Ctrl、Cmd + trackpad、またはマウスホイールで、ズームではなくページをスクロールするようになりました。これにより、偶発的なズームが回避され、macOS 上の他の Web ブラウザーの動作に一致します。
- Edge、Chrome、Safari だけでなく、Opera、Opera GX、Vivaldi からもブックマーク、履歴、パスワードをインポートできるようになりました。
- GPU サンドボックスが Windows で有効にされました。
- Windows で、サードパーティ製モジュールが Firefox への自身の注入をブロックできるようになりました。これは、クラッシュやその他の望ましくない動作を引き起こしている場合に役立ちます。
- 日付、時刻、および日時ローカルの入力フィールドが、macOS では「Cmd+Backspace」および「Cmd+Delete」ショートカットで、Windows および Linux では「Ctrl+Backspace」および「Ctrl+Delete」で消去できるようになりました。
- GPU アクセラレーション Canvas2D は、macOS と Linux ではデフォルトで有効になっています。
- Windows、MacOS、Linux での WebGL のパフォーマンス向上。
- Windows 10/11 で非 Intel GPU を使用したハードウェアでデコードされたビデオのオーバーレイを有効にし、ビデオ再生パフォーマンスとビデオ スケーリング品質を向上させます。
- Windows ネイティブ通知が有効になりました。
- Firefox Relay のユーザーは、Firefox 認証マネージャーから直接、リレーメールマスクを作成することをオプトインできるようになりました。Firefox アカウントでサインインする必要があります。
- 2 つの新しいロケールを追加しました:Silhe Friulian(毛皮)とサルデーニャ語(sc)。
- パスワードフィールドを右クリックすると、パスワードを表示するオプションが表示されるようになりました。
- 厳格に設定されたプライベートウィンドウと ETP に、メール追跡保護が含まれるようになりました。これにより、メールトラッカーがFirefoxユーザーの閲覧習慣を把握することが難しくなります。トラッキングコンテンツは、盾アイコンパネルのサブパネルで確認できます。
- 廃止予定の U2F Javascript API が、現在デフォルトで無効になっています。U2F プロトコルは、WebAuthn API を介して引き続き使用できます。「security.webauth.u2f」環境設定を使用することで、U2F API を再度有効化することができます。
- 強化されたピクチャーインピクチャーに挨拶しましょう! Web で最も人気のあるビデオ Web サイトで、ビデオの長さを巻き戻し、確認し、全画面モードに簡単に切り替えることができます。
- Firefox のアドレス バーは、探しているものを検索するのに最適な場所です。これで、検索結果を表示しながらいつでも Web 検索用語を表示し、絞り込むことができるようになりました。また、新しい結果メニューが追加され、履歴結果の削除、およびスポンサー付き Firefox Suggest エントリの却下がより簡単になりました。
- プライベートウィンドウは、サードパーティのクッキーとコンテンツトラッカーのストレージをブロックすることで、ユーザーをさらに保護するようになりました。
- Firefox が自動的に生成するパスワードに特殊文字が含まれるようになり、デフォルトでユーザーのパスワードがより安全になりました。
- Firefox 115 は、再設計されたアクセシビリティエンジンを導入し、以下と併用した場合の Firefox の速度、応答性、安定性を大幅に向上させます。
- スクリーンリーダー、およびその他の特定のアクセシビリティソフトウェア。
- 東アジアの入力方法;
- エンタープライズ シングル サインオン ソフトウェア。および
- アクセシビリティフレームワークを使用して情報にアクセスするその他のアプリケーション。
- Firefox 115 は、アニメーション(AVIS)を含む AV1 イメージフォーマットファイルをサポートするようになり、Web 全体の AVIF イメージのサポートを改善します。
- Firefox 110 リリースで最初に出荷された Windows GPU サンドボックスは、提供されるセキュリティの利点を強化するために強化されました。
- 13 年前の機能リクエストが満たされ、Firefox は Microsoft Outlook から直接ドラッグアンドドロップされるファイルをサポートできるようになりました。これをゴールラインを越えるのを手伝ってくれたボランティアの貢献者である Marco Spiess に特別な感謝を申し上げます。
- macOS のユーザーは、Firefox のコンテキストメニューから直接、サービスサブメニューにアクセスできるようになりました。
- Windows では、エラスティックオーバースクロール効果がデフォルトで有効になっています。タッチパッドで 2 本指でスクロールしたり、タッチスクリーンでスクロールしたりすると、スクロール コンテナーの端を越えてスクロールすると、跳ね返るアニメーションが表示されるようになりました。
- Firefox がタジク語(tg)で現在利用可能です。
- HTTPS 経由の DNS 例外リストを管理する UI を追加しました。
- [ブックマーク] メニューからブックマークを検索できるようになりました。[ブックマーク] メニューにアクセスするには、ツールバーに [ブックマーク] メニューボタンを追加します。
- [履歴]、[ライブラリ]、または [アプリケーション] メニュー ボタンから [検索履歴] を選択して、検索をローカルの閲覧履歴に制限します。
- Mac ユーザーは、サポートされているすべてのネイティブ解像度でカメラからビデオをキャプチャできるようになりました。これにより、1280x720 を超える解像度が可能になります。
- 拡張パネルに一覧表示されている拡張を並べ替えることができるようになりました。
- macOS、Linux、Windows 7 のユーザーは、FIDO2 / WebAuthn 認証コードを USB 経由で使用できるようになりました。完全にパスワードレスのログインなど、一部の高度な機能では、認証コードに PIN を設定する必要があります。
- ポケットおすすめコンテンツがフランス、イタリア、スペインで見られるようになりました。
- DNSオーバー HTTPS設定がSettingsページの「プライバシーとセキュリティ」セクションの一部になり、ユーザーはサポートされているすべてのモードから選択できるようになりました。
- 別のブラウザから移行しますか? これで、Chrome ベースのブラウザに保存した支払い方法を Firefox に持ち込むことができます。
- Linux 上の Intel GPU に対してハードウェアビデオデコーディングが有効化されました。
- タブ マネージャーのドロップダウンに閉じるボタンが追加され、タブをよりすばやく閉じることができます。
- Firefox タイトルバーが表示されているときに、Windows 拡大鏡がテキストカーソルに正しく追従するようになりました。
- パスワードフィールドで元に戻すとやり直しができるようになりました。
[1]:https://support.mozilla.org/kb/access-toolbar-functions-using-keyboard?_gl=1*16it7nj*_ga*MTEzNjg4MjY5NC4xNjQ1MjAxMDU3*_ga_MQ7767QQQW*MTY1Njk2MzExMS43LjEuMTY1Njk2MzIzMy4w[2]:https://support.mozilla.org/kb/how-set-tab-pickup-firefox-view[3]:https://support.mozilla.org/kb/task-manager-tabs-or-extensions-are-slowing-firefox[4]:https://blog.mozilla.org/addons/2022/11/17/manifest-v3-signing-available-november-21-on-firefox-nightly/[5]:https://blog.mozilla.org/addons/2022/05/18/manifest-v3-in-firefox-recap-next-steps/[6]:https://support.mozilla.org/kb/unified-extensions[7]:https://support.mozilla.org/kb/import-data-another-browser[8]:https://support.mozilla.org/kb/identify-problems-third-party-modules-firefox-windows[9]:https://support.mozilla.org/kb/how-generate-secure-password-firefox[10]:https://blog.mozilla.org/accessibility/firefox-113-accessibility-performance/
* 修正済み:さまざまなセキュリティの修正。 MFSA 2023-22 (bsc#1212438)
* CVE-2023-3482 (bmo#1839464)localstorage に対するすべてのクッキーバイパスをブロックします
* CVE-2023-37201 (bmo#1826002)WebRTC 証明書生成の use-after-free
* CVE-2023-37202 (bmo#1834711)SpiderMonkey のコンパートメント不一致による潜在的な use-after-free
* CVE-2023-37203 (bmo#291640)ドラッグアンドドロップ API により、ローカルシステムファイルへのアクセスが提供される場合があります
* CVE-2023-37204 (bmo#1832195)オプション要素によりフルスクリーン通知が隠されます
* CVE-2023-37205 (bmo#1704420)RTL 文字を使用したアドレスバーでの URL なりすまし
* CVE-2023-37206 (bmo#1813299)ファイルシステム API のシンボリックリンクの不十分な検証
* CVE-2023-37207 (bmo#1816287)フルスクリーン通知が隠される
* CVE-2023-37208 (bmo#1837675)Diagcab ファイルを開く際の警告の欠如
* CVE-2023-37209 (bmo#1837993)「NotifyOnHistoryReload」での use-after-free
* CVE-2023-37210 (bmo#1821886)全画面モードの終了防止
* CVE-2023-37211 (bmo#1832306、 bmo#1834862、 bmo#1835886、 bmo#1836550、 bmo#1837450)Firefox 115、Firefox ESR 102.13、および Thunderbird で修正されたメモリ安全性のバグ 102.13
* CVE-2023-37212 (bmo#1750870、 bmo#1825552、 bmo#1826206、 bmo#1827076、 bmo#1828690、 bmo#1833503、 bmo#1835710、 bmo#1838587)Firefox 115 で修正されたメモリ安全性のバグ
- 古い CPU の潜在的な SIGILL を修正(bsc#1212101)
* 修正済み:さまざまなセキュリティ修正およびその他の品質
Tenable は、前述の記述ブロックを SUSE セキュリティアドバイザリから直接抽出しています。
Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。
ソリューション
影響を受けるパッケージを更新してください。
プラグインの詳細
ファイル名: suse_SU-2023-2849-1.nasl
エージェント: unix
サポートされているセンサー: Agentless Assessment, Continuous Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Tenable Cloud Security, Tenable Self-Hosted Container Security, Nessus
リスク情報
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C
脆弱性情報
CPE: cpe:/o:novell:suse_linux:15, p-cpe:/a:novell:suse_linux:mozillafirefox, p-cpe:/a:novell:suse_linux:mozillafirefox-branding-sle, p-cpe:/a:novell:suse_linux:mozillafirefox-devel, p-cpe:/a:novell:suse_linux:mozillafirefox-translations-common, p-cpe:/a:novell:suse_linux:mozillafirefox-translations-other
必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list
エクスプロイトの容易さ: Exploits are available
参照情報
CVE: CVE-2023-3482, CVE-2023-37201, CVE-2023-37202, CVE-2023-37203, CVE-2023-37204, CVE-2023-37205, CVE-2023-37206, CVE-2023-37207, CVE-2023-37208, CVE-2023-37209, CVE-2023-37210, CVE-2023-37211, CVE-2023-37212
SuSE: SUSE-SU-2023:2849-1