ニュース

「Firefox」に致命的な脆弱性、攻撃が野放しに ~Mozilla、修正版のv97.0.2をリリース

ESR版、Android版、Firefox Focus、Thunderbirdにも影響

「Firefox」v97.0.2

 Mozillaは3月5日(米国時間)、デスクトップ向け「Firefox」の最新版v97.0.2を正式公開した。脆弱性に対処したセキュリティアップデートとなっている。

 今回修正された脆弱性は、以下の2件。深刻度はいずれも4段階中最高の「Critical」と評価されている。

  • CVE-2022-26485:XSLTパラメーター処理における解放後メモリ利用(use-after-free)
  • CVE-2022-26486:WebGPU IPCフレームワークにおける解放後メモリ利用(use-after-free)。サンドボックスのバイパスにつながる可能性

 すでにこれらの欠陥を悪用した攻撃が野放しになっているとの報告があり、できるだけ早い対処が必要だ。以下の環境にも影響するとのことなので、利用中の場合は注意したい。

  • Firefox ESR(v91.6.1で修正)
  • Firefox for Android(v97.3で修正)
  • Focus(Android版はv97.3で修正)
  • Thunderbird(v91.6.2で修正)

 デスクトップ版「Firefox」はWindows/Mac/Linuxなどに対応する寄付歓迎のフリーソフトで、現在MozillaのWebサイトからダウンロード可能。Windows版はWindows 7/8/10/11に対応しており、窓の杜ライブラリからもダウンロードできる。