United States Computer Emergency Readiness Team (US-CERT)は11月10日(米国時間)、「Mozilla Releases Security Updates for Firefox, Firefox ESR, and Thunderbird|CISA」において、Webブラウザ「Firefox」と「Firefox ESR」、およびメールクライアント「Thunderbird」に重大な脆弱性が発見され、開発元のMozillaがセキュリティアップデートをリリースしたと伝えた。
今回のセキュリティアップデートに関する情報は次のページにまとまっている。
脆弱性が修正されたプロダクトおよびバージョンは次のとおり。
- Firefox 82.0.3
- Firefox ESR 78.4.1
- Thunderbird 78.4.2
-
Firefox 82.0.3
今回のアップデートで修正された脆弱性は「CVE-2020-26950」の1件のみ。これは「MCallGetProperty opcode」の発行処理に存在する不具合に起因するもので、悪用すると解放後のメモリへのアクセス(Use After Free)が可能になる危険性があるという。脆弱性の影響度は最大の「緊急(Critical)」に分類されている。
Cybersecurity and Infrastructure Security Agency (CISA)では、ユーザーおよび管理者に対して、上記セキュリティアドバイザリを確認し必要なアップデートを適用することを推奨している。
