United States Computer Emergency Readiness Team (US-CERT)は7月2日(米国時間)、「Mozilla Releases Security Updates for Firefox and Firefox ESR|CISA」において、Mozilla FoundationがFirefoxおよびFirefox ESR(延長サポート版)の複数の脆弱性を修正するセキュリティアップデートをリリースしたと伝えた。

該当する脆弱性を悪用されると、攻撃者によって不正に情報が奪われたり、メモリ破損やクラッシュを引き起こされたりする危険性がある。

  • Mozilla Releases Security Updates for Firefox and Firefox ESR|CISA

    Mozilla Releases Security Updates for Firefox and Firefox ESR | CISA

今回リリースされたバージョンはFirefox 78およびFirefox ESR 68.10で、該当する脆弱性に関する情報はMozilla Foundationによる次のページにまとまっている。

Firefox 78で修正された脆弱性は、重要度が"high"(高)のものが7個、"moderate"(中)のものが4個、"low"(低)のものが2個。重要度が"high"の脆弱性を以下に挙げる。

  • CVE-2020-12415: URLエンコードされた文字列処理の不具合によって、AppCacheに不正なマニフェストを提供できる
  • CVE-2020-12416: WebRTC VideoBroadcasterにおけるUse-After-Free(解放したメモリに対する不正なアクセス)によって、メモリ破損やクラッシュを引き起こせる
  • CVE-2020-12417: AMD64向けのFirefoxにおいて、JavaScriptオブジェクトのValueTagの不適切な扱いによって、メモリ破損やクラッシュを引き起こせる
  • CVE-2020-12418: 悪意をもって加工されたURLオブジェクトによって、範囲外のメモリを読み取ることができる
  • CVE-2020-12419: nsGlobalWindowInnerにおけるUse-After-Freeによって、メモリ破損やクラッシュを引き起こせる
  • CVE-2020-12420: STUNサーバに接続しようとした際にUse-After-Freeが発生し、メモリ破損やクラッシュを引き起こせる
  • CVE-2020-12426: メモリ安全性に関する複数のバグ

Firefox ESR 68.10で修正された脆弱性は、重要度が"high"のものが4個、"moderate"のものが1個。重要度が"high"の脆弱性を以下に挙げるが、いずれもFirefox 78と同様である。

Cybersecurity and Infrastructure Security Agency(CISA)はユーザーおよび管理者に対して、Mozilla Foundationから提供されているセキュリティアドバイザリをチェックし、必要に応じてアップデートを適用することを推奨している。