United States Computer Emergency Readiness Team (US-CERT)は7月2日(米国時間)、「Mozilla Releases Security Updates for Firefox and Firefox ESR|CISA」において、Mozilla FoundationがFirefoxおよびFirefox ESR(延長サポート版)の複数の脆弱性を修正するセキュリティアップデートをリリースしたと伝えた。
該当する脆弱性を悪用されると、攻撃者によって不正に情報が奪われたり、メモリ破損やクラッシュを引き起こされたりする危険性がある。
今回リリースされたバージョンはFirefox 78およびFirefox ESR 68.10で、該当する脆弱性に関する情報はMozilla Foundationによる次のページにまとまっている。
- Security Vulnerabilities fixed in Firefox 78 — Mozilla
- Security Vulnerabilities fixed in Firefox ESR 68.10 — Mozilla
Firefox 78で修正された脆弱性は、重要度が"high"(高)のものが7個、"moderate"(中)のものが4個、"low"(低)のものが2個。重要度が"high"の脆弱性を以下に挙げる。
- CVE-2020-12415: URLエンコードされた文字列処理の不具合によって、AppCacheに不正なマニフェストを提供できる
- CVE-2020-12416: WebRTC VideoBroadcasterにおけるUse-After-Free(解放したメモリに対する不正なアクセス)によって、メモリ破損やクラッシュを引き起こせる
- CVE-2020-12417: AMD64向けのFirefoxにおいて、JavaScriptオブジェクトのValueTagの不適切な扱いによって、メモリ破損やクラッシュを引き起こせる
- CVE-2020-12418: 悪意をもって加工されたURLオブジェクトによって、範囲外のメモリを読み取ることができる
- CVE-2020-12419: nsGlobalWindowInnerにおけるUse-After-Freeによって、メモリ破損やクラッシュを引き起こせる
- CVE-2020-12420: STUNサーバに接続しようとした際にUse-After-Freeが発生し、メモリ破損やクラッシュを引き起こせる
- CVE-2020-12426: メモリ安全性に関する複数のバグ
Firefox ESR 68.10で修正された脆弱性は、重要度が"high"のものが4個、"moderate"のものが1個。重要度が"high"の脆弱性を以下に挙げるが、いずれもFirefox 78と同様である。
Cybersecurity and Infrastructure Security Agency(CISA)はユーザーおよび管理者に対して、Mozilla Foundationから提供されているセキュリティアドバイザリをチェックし、必要に応じてアップデートを適用することを推奨している。