Mozilla は、ブラウザの重大な脆弱性が積極的に悪用されているという米国サイバーセキュリティ・インフラストラクチャセキュリティ庁 (CISA) の勧告に併せて、Firefox ブラウザのセキュリティアップデートをリリースした。
「攻撃者はこれらの脆弱性を悪用し、影響を受けるシステムを乗っ取る可能性があります」と米国CISAは述べたが、2つのバグに関する具体的な詳細は明らかにしなかった。「これらの脆弱性は、実際に悪用されている事例で既に検出されています。」
これらの脆弱性に対処するため、Firefoxはバージョン74.0.1にアップデートされ、企業向けにアップデートの遅いバージョンであるFirefox Extended Support Release(ESR)は68.6.1にアップデートされました。Firefoxユーザーは、この機能が無効にされていない限り、これらのアップデートを自動的に受信するはずです。また、Firefoxの「Firefox」→「Firefoxについて」メニューからFirefoxのバージョンを確認し、アップデートが利用可能な場合は手動でアップデートを開始することもできます。
これらのバグは、セキュリティ研究者のフランシスコ・アロンソ氏と、JMPSec所属のハビエル・マルコス氏によって報告されました。Twitter経由でマルコス氏に連絡を取ったところ、それ以上のコメントは得られませんでした。
「これらの脆弱性が悪質なサイトで標的型攻撃に利用されているという報告を受けました」と、Mozillaの広報担当者はThe Registerへのメールで述べた。「状況を改善しました。万全を期すため、Firefoxのアップデートを通常とは異なるタイミングでリリースしました。」
共有コンピュータアカウントでFirefoxを使用してTwitterを使用すると、そのPCに個人データが少し流出している可能性があります。
続きを読む
Mozilla のセキュリティ アドバイザリでは、2 つの CVE が特定されています: CVE-2020-6819: nsDocShell デストラクタ実行中の Use-after-free() と CVE-2020-6820: ReadableStream 処理中の Use-after-free()。
このバグには、use-after-free() エラーにつながる可能性のある競合状態が含まれます。
ソフトウェアにおける競合状態とは、イベントが意図しない、あるいは望ましくない順序で発生することによって引き起こされるエラーを指します。例えば、2つのスレッドが同じ変数またはオブジェクトに同時にアクセスすると、一方のスレッドが値を読み出す前にもう一方のスレッドがその値を変更してしまう可能性があり、その結果、実行が誤った方向に進んでしまうことがあります。
また、use-after-free() エラーは、割り当てられたメモリブロックが解放された後にアクセスする際に発生します。これらのバグは重大とみなされているため、悪意のあるウェブサイトによって悪用され、脆弱なバージョンの Firefox を使用している訪問者のコンピュータ上で、マルウェアやスパイウェアなどの任意のコードが実行される可能性があります。
Mozillaはバグに関する詳細情報の公開を拒否した。Firefoxのバグ追跡システムでは詳細が公開されていないことから、関係者はアップデートの配布中は具体的な内容を秘密にしておきたいほど深刻な問題であることが窺える。
Firefox は最近、ブラウザ人気競争で 3 位に後退し、昨年オープンソースの Chromium プロジェクトに再プラットフォーム化された Microsoft Edge にその座を奪われた。
1 月に、Mozilla は品質保証責任者を含む 70 人を解雇しました。®
追記: Google は先月末に Chrome の重大度の高いセキュリティホールを 3 つ修正しましたが、私たちが知る限り、その時点ではこれらの脆弱性は攻撃を受けていませんでした。
