Mozillaは9月28日(米国時間)、「Security Vulnerability fixed in Firefox 118.0.1, Firefox ESR 115.3.1, Firefox for Android 118.1.0, Firefox Focus for Android 118.1.0, and Thunderbird 115.3.1. — Mozilla」において、FirefoxとThunderbirdに緊急の脆弱性が存在すると伝えた。この脆弱性は他の製品で悪用が確認されており、Mozillaはすぐにアップデートを行うことを推奨している。
脆弱性は「CVE-2023-5217」として特定されている。その内容は、libvpxにヒープバッファオーバーフローの脆弱性が存在し、攻撃者が細工したVP8メディアストリームを悪用することで問題を引き起こせるというもの。
脆弱性の影響を受けるとされるプロダクトは次のとおり。
- Firefox
- Firefox ESR
- Firefox Focus for Android
- Firefox for Android
- Thunderbird
脆弱性が修正されたプロダクトおよびバージョンは次のとおり。
- Firefox 118.0.1
- Firefox ESR 115.3.1
- Firefox Focus for Android 118.1
- Firefox for Android 118.1
- Thunderbird 115.3.1
Mozillaは先日FirefoxやThunderbirdのセキュリティアップデート版の配信を開始したばかりだが、今回発表されたのはこれとは別の脆弱性である点に注意が必要(参考「米国CISAがFirefoxとThunderbirdの脆弱性について警告 | TECH+(テックプラス)」)。