「Firefox」に再びゼロデイ脆弱性 ～サンドボックスを迂回、仮想通貨取引所を狙った攻撃に悪用される

「Firefox」v67.0.4

　Mozillaは6月20日（米国時間）、デスクトップ向け「Firefox」の最新安定版v67.0.4を公開した。本バージョンでもゼロデイ脆弱性の修正が行われている。

　今回のアップデートでは、親プロセスと子プロセスの間でメッセージをやりとりする“Prompt:Open”でパラメーターの検証が十分でないという問題（CVE-2019-11708）が解決された。危険な子プロセスによってサンドボックスで保護されていない親プロセスからWebコンテンツが開かれてしまう恐れがあり、他の脆弱性と組み合わせることで任意のコードが実行できてしまう。深刻度はMozilla基準で4段階中上から2番目の“High”。法人向けの延長サポート版「Firefox ESR」にも影響する。

　この問題は、「Firefox 67.0.3」で修正された脆弱性（CVE-2019-11707）とともに、仮想通貨取引所“Coinbase”の従業員を狙った標的型攻撃に用いられたという。この攻撃はすぐさまブロックされ、顧客への被害はないようだ。しかし、他の攻撃に使われる可能性も否定できない。仮想通貨のユーザーでなくても、アップデートを怠らないようにしたい。

1/ A little more context on the Firefox 0-day reports. On Monday, Coinbase detected & blocked an attempt by an attacker to leverage the reported 0-day, along with a separate 0-day firefox sandbox escape, to target Coinbase employees.

— Philip Martin (@SecurityGuyPhil)June 19, 2019

　「Firefox」はWindows/Mac/Linuxなどに対応する寄付歓迎のフリーソフトで、現在MozillaのWebサイトからダウンロード可能。Windows版はWindows 7/8/10に対応しており、窓の杜ライブラリからもダウンロードできる。すでにインストール済みの場合は、ツールバー右端のメニューボタンから［ヘルプ］－［Firefox について］メニューへアクセスし、バージョン情報ダイアログを開くと最新版へアップデートできる。