Mozillaは6月2日(米国時間)、WebブラウザFirefoxの最新版となる「Firefox 89」および「Firefox ESR 78.11」をリリースした。このアップデートでは複数の脆弱性に対する修正も含まれており、米コンピュータ緊急事態対策チーム(US-CERT: United States Computer Emergency Readiness Team)が「Mozilla Releases Security Updates for Firefox|CISA」において注意を促している。
アップデートを適用せずに脆弱性を放置していると、悪意のある攻撃者によってパスワードの窃取や任意のコードの実行、プライベートブラウジングウィンドウにおけるプライバシー保護機能の回避などといった被害を受けるおそれがあるとされている。
アップデートによって修正された脆弱性に関する情報は、Mozillaによる次のセキュリティアドバイザリにまとめられている。
- Security Vulnerabilities fixed in Firefox 89 — Mozilla
- Security Vulnerabilities fixed in Firefox ESR 78.11 — Mozilla
Firefox 89では、影響度が「high(高)」の脆弱性が2個、「moderate(中)」の脆弱性が5個、「low(低)」の脆弱性が2個修正されている。Firefox ESR 78.11では、影響度が「high(高)」の脆弱性が1個、「moderate(中)」の脆弱性が2個修正された。これらのうち、影響度がhighのものはCVE-2021-29965とCVE-2021-29967の2つ。
CVE-2021-29965はAndroid版のFirefoxにのみ存在する脆弱性で、悪意のあるWebサイトがHTTP認証ダイアログを生成する際にパスワードマネージャをだまして、ダイアログをトリガーしたWebサイトではなく、現在アクティブになっているWebサイトのパスワードを要求するというもの。ユーザーが気付かずにパスワードを入力した場合、その内容がダイアログをトリガーした悪意のあるWebサイトに漏洩する危険性がある。
CVE-2021-29967はメモリ破損につながるバグに起因するもので、攻撃者によって任意のコードを実行するために悪用される可能性があるという。CVE-2021-29967はFirefoxとFirefox ESRの両方が影響を受ける。
Cybersecurity and Infrastructure Security Agency (CISA)は、ユーザーおよび管理者に対して、Mozillaによるセキュリティアドバイザリを確認した上で、必要に応じてアップデートを適用することを推奨している。