Mozilla、ハッキング大会“Pwn2Own 2019”で報告された「Firefox」脆弱性を即日修正

「Firefox」v66.0.1

　Mozillaは3月22日（米国時間）、Webブラウザー「Firefox」のデスクトップ向け最新安定版「Firefox」v66.0.1を公開した。本バージョンでは、ハッキングコンテスト“Pwn2Own 2019”で報告された脆弱性が2件修正された。脆弱性の深刻度は、いずれも4段階中最も高い“最高”と評価されている。

　1つ目の脆弱性（CVE-2019-9810）は、「Firefox」の“IonMonkey”JITコンパイラーに存在する欠陥。Windowsカーネルの範囲外書き込みの問題と組み合わせ、特別に細工されたWebサイトへアクセスするだけで、システムレベルでコードを実行できた。

　2つ目（CVE-2019-9813）も“IonMonkey”JITコンパイラーの問題で、型混乱により任意のメモリを読み取られる恐れがあるというものだ。“Pwn2Own 2019”ではサンドボックスを迂回するために利用され、ログオンしているユーザーの権限でコードを実行することに成功した。

　3日間にわたって開催された“Pwn2Own 2019”では、「Firefox」のほかにも「Safari」、「Microsoft Edge」と「Windows」、「VMware Workstation」そして電気自動車“Tesla”のシステムが攻略された。Mozillaは昨年に引き続き、これらの製品に先駆けて「Firefox」へセキュリティパッチを即日提供することで、セキュリティに対する取り組みをアピールした格好だ。

　「Firefox」はWindows/Mac/Linuxなどに対応する寄付歓迎のフリーソフトで、現在MozillaのWebサイトからダウンロード可能。Windows版はWindows 7/8/10に対応しており、窓の杜ライブラリからもダウンロードできる。すでにインストールされている場合は更新機能を利用してアップデートすることも可能。企業向けの長期サポート版「Firefox ESR」も、同日付けでv60.6.1へと更新されている。