United States Computer Emergency Readiness Team (US-CERT)は7月29日(米国時間)、「Mozilla Releases Security Updates for Multiple Products|CISA」において、MozillaがFirefox、Firefox ESR、およびThunderbirdに対して、複数の脆弱性を修正するセキュリティアップデートをリリースしたと伝えた。
該当する脆弱性を悪用されると、攻撃者によって不正に情報が奪われたり、メモリ破損やクラッシュを引き起こされたりする危険性がある。今回リリースされたプロダクトおよびバージョンは以下の通り。
- Firefox 79
- Firefox ESR 68.11
- Firefox ESR 78.1
- Thunderbird 78.1
修正された脆弱性に関する情報は、それぞれ次のページにまとめられている。
- Security Vulnerabilities fixed in Firefox 79 — Mozilla
- Security Vulnerabilities fixed in Firefox ESR 68.11 — Mozilla
- Security Vulnerabilities fixed in Firefox ESR 78.1 — Mozilla
- Security Vulnerabilities fixed in Thunderbird 78.1 — Mozilla
Firefox 79で修正された脆弱性は、重要度「high」(高)のものが4個、「moderate」(中)のものが3個、「low」(低)のものが3個。Firefox ESR 68.11で修正された脆弱性は、重要度が「high」のものが3個、「moderate」のものが3個。Firefox ESR 78.1で修正された脆弱性は、重要度が「high」のものが4個、「moderate」のものが3個、「low」のものが3個。Thunderbird 78.1で修正された脆弱性は、重要度が「high」のものが4個、「moderate」のものが3個、「low」のものが3個。
このうち、重要度「high」の脆弱性は共通しており、次のようなものとなっている。
- CVE-2020-15652: Web Workerのスタックトレースを調べることでクロスオリジン・リダイレクトの結果をリークできる
- CVE-2020-6514: WebRTCのデータチャネルがクラスインスタンスのメモリアドレスをリークする。これはASLR(アドレス空間配置のランダム化)の回避につながる。
- CVE-2020-15655: 拡張APIを使用して、CORS(オリジン間リソース共有)のポリシーチェックを回避できる。
- CVE-2020-15659: メモリ安全性に関する複数のバグ。
-
Security Vulnerabilities fixed in Firefox 79 — Mozilla
-
Security Vulnerabilities fixed in Thunderbird 78.1 — Mozilla
Rustで有名アルゴリズムに挑戦 第17回 RustでHTTPサーバを実装してみよう
