SUSE SLES12 セキュリティ更新 : MozillaFirefox, MozillaFirefox-branding-SLE (SUSE-SU-2025:02339-1)
critical Nessus プラグイン ID 242306
Language:
概要
リモートの SUSE ホストに 1 つ以上のセキュリティ更新がありません。説明
リモートの SUSE Linux SLES12 ホストには、SUSE-SU-2025:02339-1 のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。これは Firefox の延長サポートリリース 140.0esr ESR です
主要な変更点:
一般:
- リーダービューには、文字間隔、単語間隔、テキスト配置に関する新しいオプションを含む、強化されたテキストとレイアウトメニューが追加されました。これらの変更により、よりアクセスしやすく読みやすいエクスペリエンスが実現しました。
- リーダービューには、コントラストとグレーオプションが追加されたテーマメニューが導入されました。[Custom] (カスタム) タブから、テキスト、背景、リンクのカスタムカラーを選択することもできます。
- Firefox では、ユーザーがサイトに位置情報などのアクセス許可を与える際に、それを一時的に記憶するようになりました。一時的なアクセス許可は、1 時間後またはタブが閉じられたときに削除されます。
- Firefox には、履歴 API の悪用によって過剰な履歴エントリが生成され、その結果「戻る」「進む」ボタンでの操作が困難になることを防ぐための保護機能が追加されました。これにより、「戻る」ボタンと「次へ」ボタンの使用時は、ユーザーによる操作がない限り、このようなエントリはスキップされるようになりました。
- Firefox は、PDF 内のすべてのリンクを識別し、それらをハイパーリンクに変換します。
- macOS および Linux では、タブストリップコンテキストメニューを使用して、バックグラウンドタブからリンクをコピーできるようになりました。
- macOS および Linux のユーザーには、ウィンドウで複数のタブが開いている状態で「終了」キーボードショートカットを使用すると、現在のタブのみを閉じるオプションが表示されるようになりました。(bmo#None)
サイドバーとタブ:
- [Settings] (設定) > [General] (一般) > [Browser Layout] (ブラウザレイアウト) で、更新された Firefox サイドバーを有効にできるようになり、メインビューを離れることなく 1 クリックで複数のツールにすばやくアクセスできるようになりました。サイドバーツールには、選択した AI チャットボット、ブックマーク、履歴、Mozilla アカウントと同期するデバイスのタブが含まれています。
- 多数のタブを開いたままにしておく場合タブのリストを素早くスキャンするために、新しい垂直タブのレイアウトを試してみましょう。垂直タブを使用すると、開いているタブと固定されているタブがブラウザの上部ではなく、サイドバーに表示されます。垂直タブをオンにするには、ブラウザ上部にあるツールバーを右クリックして [Turn on Vertical Tabs] (垂直タブをオンにする) を選択します。更新されたサイドバーを有効にした場合は、[Customize sidebar] (サイドバーのカスタマイズ) に移動して [Vertical] (垂直) タブをチェックすることもできます。初期のテストユーザーは、数日間垂直タブを使用することで、より見た目がすっきり見やすくなったという印象を得ています。
- 関連するタブをグループ化することで、負担を軽減しつつ生産性を維持し、すっきりした見た目を実現できます。グループを作成する簡単な方法の 1 つは、タブを別のタブにドラッグし、ハイライトが表示されるまで一時停止してから、ドロップしてグループを作成することです。タブグループの名前を変更したり、色分けしたりでき、その状態が常に保存されます。グループを閉じてから、後で再び開くこともできます。
- 背景のタブの上にマウスを移動すると、タブのプレビューが表示されるようになりました。これにより、タブを切り替えることなく目的のタブを簡単に見つけられるようになりました。
- [Tab overview] (タブの概要) メニューから、他のデバイスのタブを表示するためのサイドバーを開けるようになりました。
セキュリティとプライバシー:
- ローカルではないサイトのアドレスバーのデフォルトプロトコルとして、HTTP に代わって HTTPS が使用されるようになりました。サイトが HTTPS 経由でアクセスできない場合、Firefox は HTTP にフォールバックします。
- Firefox は、強化型トラッキング防止機能モードの「厳格」が有効な場合、サードパーティのクッキーへのアクセスをブロックするようになりました。
- Firefox に新しいトラッキング防止機能である「バウンストラッキング対策」が追加され、強化トラッキング防止の「厳格」モードで利用できるようになりました。この機能は、リダイレクト動作に基づいてバウンストラッキングを検出し、クッキーとサイトデータを定期的に削除して追跡をブロックします。
- Firefox は証明書の透明性を強化しており、ウェブサーバーが証明書を公開済みであるという十分な証明を提供しない限り、その証明書を信頼しません。これは、Mozilla のルート CA プログラムの認証局が発行した証明書を使用しているサーバーにのみに影響します。
- Smartblock Embeds を使用することで、ユーザーは ETP の「厳格」モードと「プライベートブラウジング」モードでブロックされている特定のソーシャルメディア埋め込みを、選択的にブロック解除できます。現在、サポートはいくつかの埋め込みタイプに制限されていますが、今後の更新でさらに追加される予定です。
- Firefox は、ページのロードをデフォルトで HTTPS にアップグレードしており、セキュアな接続が失敗した場合は HTTP に自動的に切り替えます。
この動作は HTTPS-First として知られています。
- この機能の目的を明確にするため [Copy Without Site Tracking] (サイトトラッキングなしでコピー) メニュー項目の名前は、[Copy Clean Link] (クリーンリンクをコピー) に変更されました。[Copy Clean Link] (クリーンリンクをコピー) は、リンクから既知のトラッキングパラメーターをリストに基づいて削除する方法です。このオプションは、プレーンテキストリンクでも使用できるようになりました。
- [Clear browsing data and cookies] (閲覧データとクッキーの消去) ダイアログでは、保存されたフォーム情報を閲覧履歴とは別に消去できるようになりました。
翻訳:
- Firefox では、ページ全体の翻訳後に、選択したテキスト部分を別の言語に翻訳できるようになりました。
- moz-extension:// URL スキームで始まる Firefox 拡張機能ページ内でページ全体の翻訳が可能になりました。
- デフォルトの翻訳言語を提案する際、Firefox は以前翻訳に使用した言語を考慮するようになりました。
- Firefox 翻訳に多くの新しい言語のサポートが追加されました。
Windows:
- Canvas2D は Windows 上で Direct2D からプラットフォームに依存しないアクセラレーションバックエンドに切り替わりました。
- HEVC 動画コンテンツのハードウェアアクセラレート再生が Windows でサポートされるようになりました。
- Windows 11 上の Firefox では、ポップアップウィンドウにアクセラレーションスタイルのメニューが使用されるようになり、オペレーティングシステムの外観と調和するようになりました。(bmo#None)
Linux:
- Firefox は、Linux でタッチパッドのタッチジェスチャーをサポートするようになりました。これは、動的スクロールが、タッチパッドに 2 本の指を置くことで停止できるようになったということです。
(bmo#None)
* 開発者:
- Firefox はテキストフラグメントをサポートするようになり、ユーザーが特別な URL フラグメントを介してウェブドキュメント内のテキストの特定の部分に直接リンクできます。
- デバッガーのログポイント値がプロファイラマーカーに自動的に変換されるようになり、デバッガーから直接、マーカータイムラインに情報を追加することができるようになりました。
- デバッガーのディレクトリルートが、設定された特定のドメインに限定されるようになりました。これにより、一般的な使用方法に調和して、無関係のドメイン間で適用されることを回避します。これは、再設計された UI やルート設定の簡単な削除といった以前からの改善点に基づいたものです。ディレクトリルートを設定すると、ソースリストが更新され、選択したディレクトリとその子ディレクトリのみが表示されます。(詳しく見る)
- [Network] (ネットワーク) パネルのネットワークブロッキング機能は、応答をブロックするだけでなく、HTTP リクエストもブロックするようになりました。
- [Network] (ネットワーク) パネルには、ユーザーインターフェースの 103 HTTP ステータスコード専用のインジケーターを含む、早期ヒントに関する情報が表示されます。
- [Network] (ネットワーク) パネルで、ローカルファイルによるネットワークリクエスト応答のオーバーライドが許可されるようになりました。
- [Network] (ネットワーク) パネルのフィルター設定が DevTools Toolbox セッションをまたがって保存されるようになりました。
- [Network] (ネットワーク) パネルに新しい列が追加され、リクエスト URL のフルパスが表示されるようになりました。この機能強化により、開発者は完全なリクエストパスを素早く表示し、分析できるようになりました。
- シャドウルート内を含むページ検索を可能にする新しいコンソールコマンド「$$$」を導入しました。
- 拡張機能が再読み込みされた際に、デバッカーでウェブ拡張機能のソースコードを自動的に再読み込みするなど、ウェブ拡張機能のデバッグのサポートが改善されました。コンソールパネルのコンテキストセレクターでワーカーが利用可能になり、コンテンツスクリプトでブレークポイントが正しく機能するようになりました。
- [Inspector Fonts] (インスペクターフォント) パネルで、フォントバージョン、デザイナー、ベンダー、ライセンスなどのフォントメタデータが表示されるようになりました。
- インポートマップ整合性フィールドのサポートを追加し、動的または静的にインポートされたモジュールの整合性を確保できるようになりました。
- 「Error.isError」のサポートを実装し、オブジェクトが Error のインスタンスであるかどうかを判断するためのブランドチェックを実行できるようにしました。(詳しく見る)
- 「error.captureStackTrace」拡張機能のサポートを追加し、他のブラウザとの互換性を改善しました。(詳しく見る) [5]: http://github.com/tc39/proposal-error-capturestacktrace (bmo#None)
* エンタープライズ:
- UserMessaging ポリシーが新しいオプションで更新され、環境設定で Firefox Labs を無効にできるようになりました。
- 環境設定ポリシーが更新され、環境設定 security.pki.certificate_transparency.mode を設定できるようになりました。
- HTTPS-First がデフォルトでオンになるようにしました。この動作は、HttpsOnlyMode ポリシーと HttpAllowlist ポリシーを使用して管理できます。
- Firefox に内部的な変更が加えられ、「XPCOMUtils.defineLazyGetter」が削除されました。ほとんどの場合、これは問題になりませんが、AutoConfig や PolicyPak などのサードパーティのソフトウェアで問題が発生した場合は、これが原因である可能性があります。その場合は、プロバイダーに連絡してください。
- Firefox は、DLP ソフトウェアを統合するために Content Analysis SDK をサポートするようになりました。詳細については、このブログ投稿を参照してください。
- ESR だけでなく、Firefox のすべてのバージョンで SearchEngines ポリシーが利用可能になりました。
* 修正済み: さまざまなセキュリティ修正。
MFSA 2025-51 (bsc#1244670)
* CVE-2025-6424 (bmo#1966423) FontFaceSet のメモリ解放後使用 (Use-after-free)
* CVE-2025-6425 (bmo#1717672) Firefox に同梱されている WebCompat WebExtension が、永続的な UUID を漏洩
* CVE-2025-6426 (bmo#1964385) macOS で実行可能なターミナルファイルを開く際に警告がない
* CVE-2025-6427 (bmo#1966927) connect-src コンテンツセキュリティポリシーの制限が回避される可能性
* CVE-2025-6428 (bmo#1970151) Android 用の Firefox は、リンククエリ文字列パラメーターで指定された URL を開く
* CVE-2025-6429 (bmo#1970658) URL の解析が不適切であるため、youtube.com の埋め込みが可能
* CVE-2025-6430 (bmo#1971140) ファイルが埋め込みまたはオブジェクトタグに含まれる際に、Content-Disposition ヘッダーが無視される
* CVE-2025-6431 (bmo#1942716) 外部アプリケーションでリンクを開く前に確認する、Firefox for Android のプロンプトがバイパスされる可能性
* CVE-2025-6432 (bmo#1943804) DNS リクエストが設定済みの SOCKS プロキシの外側に漏洩する
* CVE-2025-6433 (bmo#1954033) WebAuthn により、ユーザーは無効な TLS 証明書のあるウェブページでチャレンジに署名することを許可する可能性
* CVE-2025-6434 (bmo#1955182) HTTPS-Only の例外画面にクリックジャッキング遅延が不足していた
* CVE-2025-6435 (bmo#1950056、bmo#1961777) 開発者ツールの「名前を付けて保存」機能で、拡張子をサニタイズせずにファイルをダウンロードでき可能性
* CVE-2025-6436 (bmo#1941377、bmo#1960948、bmo#1966187、bmo#1966505、bmo#1970764) Firefox 140 と Thunderbird 140 でメモリ安全性のバグが修正された
Tenable は、前述の記述ブロックを SUSE セキュリティアドバイザリから直接抽出しています。
Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。
ソリューション
影響を受ける MozillaFirefox、MozillaFirefox-branding-SLE、MozillaFirefox-devel および / または MozillaFirefox- translations-common パッケージを更新してください。参考資料
https://bugzilla.suse.com/1244670
https://lists.suse.com/pipermail/sle-updates/2025-July/040754.html
https://www.suse.com/security/cve/CVE-2025-6424
https://www.suse.com/security/cve/CVE-2025-6425
https://www.suse.com/security/cve/CVE-2025-6426
https://www.suse.com/security/cve/CVE-2025-6427
https://www.suse.com/security/cve/CVE-2025-6428
https://www.suse.com/security/cve/CVE-2025-6429
https://www.suse.com/security/cve/CVE-2025-6430
https://www.suse.com/security/cve/CVE-2025-6431
https://www.suse.com/security/cve/CVE-2025-6432
https://www.suse.com/security/cve/CVE-2025-6433
https://www.suse.com/security/cve/CVE-2025-6434
プラグインの詳細
深刻度: Critical
ID: 242306
ファイル名: suse_SU-2025-02339-1.nasl
バージョン: 1.1
タイプ: local
エージェント: unix
ファミリー: SuSE Local Security Checks
公開日: 2025/7/18
更新日: 2025/7/18
サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 6.7
CVSS v2
リスクファクター: Critical
基本値: 10
現状値: 7.8
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
CVSS スコアのソース: CVE-2025-6436
CVSS v3
リスクファクター: Critical
基本値: 9.8
現状値: 8.8
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C
CVSS スコアのソース: CVE-2025-6433
脆弱性情報
CPE: cpe:/o:novell:suse_linux:12, p-cpe:/a:novell:suse_linux:mozillafirefox-devel, p-cpe:/a:novell:suse_linux:mozillafirefox-translations-common, p-cpe:/a:novell:suse_linux:mozillafirefox-branding-sle, p-cpe:/a:novell:suse_linux:mozillafirefox
必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list
エクスプロイトが利用可能: true
エクスプロイトの容易さ: Exploits are available
パッチ公開日: 2025/7/17
脆弱性公開日: 2025/6/24
参照情報
CVE: CVE-2025-6424, CVE-2025-6425, CVE-2025-6426, CVE-2025-6427, CVE-2025-6428, CVE-2025-6429, CVE-2025-6430, CVE-2025-6431, CVE-2025-6432, CVE-2025-6433, CVE-2025-6434, CVE-2025-6435, CVE-2025-6436
SuSE: SUSE-SU-2025:02339-1