FirefoxとThunderbirdに重要な脆弱性、アップデートを

米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)は6月29日(米国時間)、「Mozilla Releases Security Updates for Firefox, Firefox ESR, and Thunderbird｜CISA」において、Mozilla FirefoxおよびThunderbirdに複数の脆弱性が存在すると伝えた。

これら脆弱性を悪用されると、攻撃者によって影響を受けたシステムの制御権が乗っ取られる危険性があるとされている。脆弱性に関する情報は次のページにまとまっている。

Security Vulnerabilities fixed in Firefox 102 — Mozilla

脆弱性が存在するとされるプロダクトおよびバージョンは次のとおり。

Mozilla Firefox version 102よりも前のバージョン
Mozilla Firefox ESR version 91.11よりも前のバージョン
Mozilla Thunderbird version 102よりも前のバージョン
Mozilla Thunderbird version 91.11よりも前のバージョン

脆弱性が修正されたプロダクトおよびバージョンは次のとおり。

Mozilla Firefox version 102
Mozilla Firefox ESR version 91.11
Mozilla Thunderbird version 102
Mozilla Thunderbird version 91.11

修正対象となった脆弱性で特に深刻度が高いものは次のとおり。

【Mozilla Firefox】

［重要］CVE-2022-34479: ポップアップウィンドウのサイズを変更してアドレスバーにウェブコンテンツをオーバーレイ表示できる問題。
［重要］CVE-2022-34470: nsSHistory解放後の使用問題。
［重要］CVE-2022-34468: allow-scriptsのないCSPサンドボックスヘッダがリターゲットされたjavascript:URIを経由してバイパスされる問題。
［重要］CVE-2022-3484: Firefox 102とFirefox ESR 91.11に存在するメモリ安全性問題。

【Mozilla Firefox ESR】

［重要］CVE-2022-34479: ポップアップウィンドウのサイズを変更してアドレスバーにウェブコンテンツをオーバーレイ表示できる問題。
［重要］CVE-2022-34470: nsSHistory解放後の使用問題。
［重要］CVE-2022-34468: allow-scriptsのないCSPサンドボックスヘッダがリターゲットされたjavascript:URIを経由してバイパスされる問題。
［重要］CVE-2022-3484: Firefox 102とFirefox ESR 91.11に存在するメモリ安全性問題。

【Mozilla Thunderbird】

［重要］CVE-2022-34479: ポップアップウィンドウのサイズを変更してアドレスバーにウェブコンテンツをオーバーレイ表示できる問題。
［重要］CVE-2022-34470: nsSHistory解放後の使用問題。
［重要］CVE-2022-34468: allow-scriptsのないCSPサンドボックスヘッダがリターゲットされたjavascript:URIを経由してバイパスされる問題。
［重要］CVE-2022-3484: Firefox 102とFirefox ESR 91.11に存在するメモリ安全性問題。

FirefoxとThunderbirdに深刻度が重要である脆弱性が存在しており注意が必要。CISAは、必要に応じてアップデートを適用することを推奨している。

Firefoxはメニューから「Firefox について」を選択することでバージョンを確認することができる。アップデート可能なバージョンが存在する場合はその旨が表示されるので、指示に従ってFirefoxを再起動することでバージョンアップが適用される。

Thunderbirdはメニューから「About Thunderbird」を選択することでバージョンを確認することができる。アップデート可能なバージョンが存在する場合はその旨が表示されるので、指示に従ってThunderbirdを再起動することでバージョンアップが適用される。