Mozilla、ハッキング大会“Pwn2Own 2018”で報告された「Firefox」脆弱性を即日修正

「Firefox」v59.0.1

　Mozillaは16日（米国時間）、Webブラウザー「Firefox」の安定版v59.0.1を公開した。本バージョンでは、ハッキングコンテスト“Pwn2Own 2018”で報告された脆弱性が修正された。企業向けの延長サポート版「Firefox ESR」にも同様の修正を施したv52.7.2がリリースされている。

　今回修正された脆弱性の内容は、“libvorbis”ライブラリの欠陥により、Vorbis形式のオーディオデータを処理する際に範囲外のメモリ書き込みが発生するというもの（CVE-2018-5146）。Android版などで“libvorbis”の代わりに利用されている“libtremor”ライブラリにも同様の欠陥があるとして修正が施された。脆弱性の深刻度は、いずれも4段階中最も高い“最高”と評価されている。

　なお、“Pwn2Own 2018”ではApple製品で5つ、Microsoft製品で4つ、Oracle製品で2つ、Mozilla製品で1つのセキュリティ欠陥が報告されたが、セキュリティアップデートを即日リリースしたのはMozillaのみだ。Mozillaは“Pwn2own 2015”でも「Firefox」を攻略されているが、そのときもセキュリティアップデートを即座にリリースしている。

「Tor Browser」v7.5.2

　「Firefox」はWindows/Mac/Linuxなどに対応する寄付歓迎のフリーソフトで、現在MozillaのWebサイトからダウンロード可能。Windows版は窓の杜ライブラリからもダウンロードできる。すでにインストールされている場合は、「Firefox」の更新機能でアップデートすることも可能。また、「Firefox」派生ブラウザー「Tor Browser」もアップデートされており、「Firefox ESR」の修正を取り込んだ最新版v7.5.2がすでに利用可能だ。