Firefox新バージョン、重大セキュリティ脆弱性を修正！

Last Updated on 2024-07-06 04:22 by 門倉 朋宏

Mozillaは2024年3月22日に、Firefoxブラウザのバージョン124.0.1をリリースチャンネルユーザー向けに公開した。この新バージョンでは、2つの重大なセキュリティ脆弱性が修正されている。一つの脆弱性はデスクトップ版のFirefoxにのみ影響し、モバイル版には影響しない。自動更新が有効なWindowsユーザーは、ブラウザを開いた際に新バージョンがすぐにまたは間もなく利用可能になる。その他のユーザーは、ブラウザのメニューボタンからヘルプを選択し、「Firefoxについて」を選ぶことで更新を行うことができる。

これらの脆弱性は、Pwn2Own Vancouver 2024ハッキングコンペティション中に発見された。CVEデータベースには、公開されたコンピュータセキュリティの欠陥がリストされている。このアップデートで修正されたCVEは以下の通りである。

CVE-2024-29943: 攻撃者が範囲ベースの境界チェック除去を騙して、JavaScriptオブジェクトに対して範囲外読み取りまたは書き込みを実行できる脆弱性。この脆弱性はFirefox < 124.0.1に影響する。 CVE-2024-29944: 攻撃者が特権オブジェクトにイベントハンドラを注入し、親プロセスで任意のJavaScript実行を可能にする脆弱性。この脆弱性はデスクトップ版のFirefoxのみに影響し、モバイル版には影響しない。この脆弱性はFirefox < 124.0.1およびFirefox ESR < 115.9.1に影響する。 これら2つの脆弱性を組み合わせることで、研究者はFirefoxのサンドボックス脱出を達成した。サンドボックスは、ブラウザを通じてシステムに入る悪意のあるコンテンツから保護するために使用される。

【ニュース解説】

Mozillaは、2024年3月22日にFirefoxブラウザの新バージョン124.0.1をリリースし、2つの重大なセキュリティ脆弱性を修正しました。これらの脆弱性は、デスクトップ版のFirefoxにのみ影響を及ぼし、モバイル版は影響を受けません。自動更新機能を有効にしているWindowsユーザーは、ブラウザを開くと新バージョンが自動的に適用されます。その他のユーザーも、簡単な手順でブラウザを更新することができます。

これらの脆弱性は、Pwn2Own Vancouver 2024というハッキングコンペティションで発見されました。一つ目の脆弱性（CVE-2024-29943）は、攻撃者がJavaScriptオブジェクトに対して範囲外の読み取りや書き込みを行うことを可能にするもので、プログラムが割り当てられたメモリ領域の外側にアクセスすることにより、クラッシュや任意のコード実行、情報の漏洩を引き起こす可能性があります。二つ目の脆弱性（CVE-2024-29944）は、攻撃者が特権オブジェクトにイベントハンドラを注入し、親プロセスで任意のJavaScriptを実行できるようにするもので、これはデスクトップ版のFirefoxに限定されています。

これらの脆弱性の修正は、ユーザーのセキュリティを大幅に向上させます。特に、サンドボックス脱出を可能にする脆弱性は、攻撃者がシステム全体に影響を及ぼす潜在的なリスクを持っていました。サンドボックス技術は、悪意のあるコンテンツがシステムの他の部分に影響を与えることを防ぐために重要であり、この脆弱性の修正により、ユーザーはより安全にインターネットを利用できるようになります。

しかし、このような脆弱性の発見と修正は、サイバーセキュリティの継続的な戦いを示しています。ユーザーは常に最新のセキュリティアップデートを適用することが重要であり、開発者や企業は、セキュリティを維持するために常に警戒を怠らない必要があります。また、このような脆弱性の発見は、ハッキングコンペティションなどのイベントが、セキュリティの強化に貢献していることを示しており、白帽ハッカーの役割が非常に重要であることを強調しています。

長期的には、このようなセキュリティの脆弱性への対応は、より安全なデジタル環境の構築に向けた重要なステップです。ユーザー、開発者、企業が一丸となってセキュリティ意識を高め、最新の保護措置を講じることが、サイバー攻撃から身を守る上で不可欠です。

from Patch now: Mozilla patches two critical vulnerabilities in Firefox.