中国のハッキング大会“天府杯 2020”で11製品が攻略、「Firefox」は即座に脆弱性を修正

「Firefox 82.0.3」

　Mozillaは11月10日（米国時間）、デスクトップ向け「Firefox」の最新版「Firefox 82.0.3」を正式公開した。脆弱性を修正したセキュリティアップデートとなっている。

　本バージョンでは、中国のハッキングコンテスト“天府杯 2020（Tianfu Cup 2020）”で明らかにされた脆弱性（CVE-2020-26950）が修正された。特定状況下で攻撃に悪用可能な解放後メモリ利用（Use-after-free）状態が発生するとして、深刻度は“Critical”と評価されており、警戒が必要だ。この問題は延長サポート版「Firefox ESR」にも影響するとのことで、同様の修正を施した「Firefox ESR 78.4.1」も公開されている。

　8日に終了した“天府杯 2020”では、ターゲットにされた16の製品のうち「Firefox」を含む以下の11の製品が攻略され、23の攻撃がデモンストレーションされた。Mozillaがこれにすばやく反応し、いち早く脆弱性への対処を完了した点は称賛に値するといえるだろう。

• Google Chrome
• Safari
• Firefox
• Adobe PDF Reader
• Docker CE
• VMware ESXi
• Qemu
• CentOS 8
• iPhone 11 Pro（iOS 14）
• Galaxy S20
• Windows 10 バージョン 2004
• TP-Link製のルーター
• ASUS製のルーター

TFC 2020 has come to the end, all these excellent offensive researchers and their burning 0days makes#TFC2020 a success! Thank you all for participating and following!🥳🥳🥳pic.twitter.com/MwJLc5M0B4

— TianfuCup (@TianfuCup)November 8, 2020

　デスクトップ版「Firefox」はWindows/Mac/Linuxなどに対応する寄付歓迎のフリーソフトで、現在MozillaのWebサイトからダウンロード可能。Windows版はWindows 7/8/10に対応しており、窓の杜ライブラリからもダウンロードできる。すでに利用している場合は自動で更新されるが、画面右上のメインメニュー（横3本線アイコン）から［ヘルプ］－［Firefox について］へアクセスし、バージョン情報ダイアログを開いて手動でアップデートしてもよい。