Mozillaは9月28日(米国時間)、「Security Vulnerability fixed in Firefox 118.0.1, Firefox ESR 115.3.1, Firefox for Android 118.1.0, Firefox Focus for Android 118.1.0, and Thunderbird 115.3.1. — Mozilla」において、FirefoxとThunderbirdに緊急の脆弱性が存在すると伝えた。この脆弱性は他の製品で悪用が確認されており、Mozillaはすぐにアップデートを行うことを推奨している。

  • Security Vulnerability fixed in Firefox 118.0.1、Firefox ESR 115.3.1、Firefox for Android 118.1.0、Firefox Focus for Android 118.1.0、and Thunderbird 115.3.1. — Mozilla

    Security Vulnerability fixed in Firefox 118.0.1, Firefox ESR 115.3.1, Firefox for Android 118.1.0, Firefox Focus for Android 118.1.0, and Thunderbird 115.3.1. — Mozilla

脆弱性は「CVE-2023-5217」として特定されている。その内容は、libvpxにヒープバッファオーバーフローの脆弱性が存在し、攻撃者が細工したVP8メディアストリームを悪用することで問題を引き起こせるというもの。

脆弱性の影響を受けるとされるプロダクトは次のとおり。

  • Firefox
  • Firefox ESR
  • Firefox Focus for Android
  • Firefox for Android
  • Thunderbird

脆弱性が修正されたプロダクトおよびバージョンは次のとおり。

  • Firefox 118.0.1
  • Firefox ESR 115.3.1
  • Firefox Focus for Android 118.1
  • Firefox for Android 118.1
  • Thunderbird 115.3.1

Mozillaは先日FirefoxやThunderbirdのセキュリティアップデート版の配信を開始したばかりだが、今回発表されたのはこれとは別の脆弱性である点に注意が必要(参考「米国CISAがFirefoxとThunderbirdの脆弱性について警告 | TECH+(テックプラス)」)。