ニュース

ハッキング大会で「Firefox」が致命的脆弱性の合わせ技で陥落、開発チームが即座に修正

「Firefox 100.0.2」「Firefox ESR 91.9.1」「Thunderbird 91.9.1」などへの更新を

「Firefox」v100.0.2

 Mozillaは5月20日(米国時間)、デスクトップ向け「Firefox」の最新版v100.0.2を正式公開した。致命的な脆弱性に対処したセキュリティアップデートとなっている。

 本バージョンで修正された脆弱性は、以下の2件。深刻度はいずれも4段階中最高の「Critical」と評価されている。

  • CVE-2022-1802:トップレベル「Await」実装のプロトタイプ汚染
  • CVE-2022-1529:JavaScriptオブジェクトインデックスにおける検証不備

 先日、カナダのバンクーバーでトレンドマイクロのZero Day Initiative(ZDI)が開催したセキュリティコンテスト「Pwn2Own 2022」では、Manfred Paul氏がこの2つの脆弱性を組み合わせて「Firefox」を攻略。見事、10万ドルと攻略ポイントを獲得している。

 この大会では「Microsoft Teams」、「Oracle VM Virtualbox」、「Windows 11」、「Ubuntu」、「Safari」(前述のManfred Paul氏が攻略)、「Telsa Model 3」といった製品がターゲットとなり、次々と陥落しているが、「Firefox」の開発チームがいち早くそれに対処した格好だ。

「Pwn2Own 2022」の結果

 デスクトップ版「Firefox」はWindows/Mac/Linuxなどに対応する寄付歓迎のフリーソフトで、現在MozillaのWebサイトからダウンロード可能。Windows版はWindows 7/8/10/11に対応しており、窓の杜ライブラリからもダウンロードできる。

 なお、今回修正された脆弱性は以下の製品にも影響する。利用中の場合は、以下のバージョンへのアップデートを怠らないようにしよう。

  • Firefox for Android:v100.3.0
  • Firefox ESR:v91.9.1
  • Thunderbird:v91.9.1

 「Thunderbird」はWindows/Mac/Linuxに対応する寄付歓迎のフリーソフトで、Windows版はWindows 7以降で利用可能。現在、公式サイト「thunderbird.net」からダウンロードできるほか、Windows版は窓の杜ライブラリからもダウンロード可能。すでに利用している場合は、自動更新機能でアップデートされる。

「Thunderbird」v91.9.1