米コンピュータ緊急事態対策チーム(US-CERT: United States Computer Emergency Readiness Team)は4月20日(米国時間)、「Mozilla Releases Security Update for Firefox, Firefox ESR, and Thunderbird|CISA」において、WebブラウザのFirefoxおよびFirefox ESRと、メールソフトのThunderbirdに脆弱性が発見され、Mozillaが修正版のセキュリティアップデートをリリースしたと伝えた。これら脆弱性を悪用されると、悪意のある第三者によって範囲外のメモリ書き込みや任意のコードの実行、なりすまし攻撃などが行われる危険性がある。
今回セキュリティアップデートがリリースされたプロダクトとそのバージョンは以下の通り。
- Firefox 88
- Firefox ESR 78.10
- Thunderbird 78.10
-
Firefox 88 macOS版
脆弱性の詳細はそれぞれ次のページにまとめられている。
- Security Vulnerabilities fixed in Firefox 88 — Mozilla
- Security Vulnerabilities fixed in Firefox ESR 78.10 — Mozilla
- Security Vulnerabilities fixed in Thunderbird 78.10 — Mozilla
-
Security Vulnerabilities fixed in Firefox 88
今回修正された脆弱性のうち、影響度が「high(高)」に指定されているものは以下の4つで、それ以外に影響度「moderate(中)」「low(低)」のものが多数含まれている。
- CVE-2021-23994: WebGLにおける範囲外のメモリ書き込み
- CVE-2021-23995:レスポンシブデザインモードでの解放後のメモリ使用(Use After Free)
- CVE-2021-23996:3D CSSをJavaScriptと組み合わせることで、コンテンツがWebページのビューポートの外部でレンダリングされる問題
- CVE-2021-23997:フォントキャッシュの操作における解放後のメモリ使用
CVE-2021-23994とCVE-2021-23995はFirefox、Firefox ESR、Thunderbirdのいずれの製品にも影響し、CVE-2021-23996とCVE-2021-23997はFirefoxのみが影響を受ける問題だという。
ゼロからはじめるPython 第116回 金額合計ツールでExcel要らず - 合計/整形/コピーのツールを作ろう
