ハッキング大会で「Firefox」が致命的脆弱性の合わせ技で陥落、開発チームが即座に修正

「Firefox」v100.0.2

　Mozillaは5月20日（米国時間）、デスクトップ向け「Firefox」の最新版v100.0.2を正式公開した。致命的な脆弱性に対処したセキュリティアップデートとなっている。

　本バージョンで修正された脆弱性は、以下の2件。深刻度はいずれも4段階中最高の「Critical」と評価されている。

• CVE-2022-1802：トップレベル「Await」実装のプロトタイプ汚染
• CVE-2022-1529：JavaScriptオブジェクトインデックスにおける検証不備

　先日、カナダのバンクーバーでトレンドマイクロのZero Day Initiative（ZDI）が開催したセキュリティコンテスト「Pwn2Own 2022」では、Manfred Paul氏がこの2つの脆弱性を組み合わせて「Firefox」を攻略。見事、10万ドルと攻略ポイントを獲得している。

　この大会では「Microsoft Teams」、「Oracle VM Virtualbox」、「Windows 11」、「Ubuntu」、「Safari」（前述のManfred Paul氏が攻略）、「Telsa Model 3」といった製品がターゲットとなり、次々と陥落しているが、「Firefox」の開発チームがいち早くそれに対処した格好だ。

「Pwn2Own 2022」の結果

　デスクトップ版「Firefox」はWindows/Mac/Linuxなどに対応する寄付歓迎のフリーソフトで、現在MozillaのWebサイトからダウンロード可能。Windows版はWindows 7/8/10/11に対応しており、窓の杜ライブラリからもダウンロードできる。

　なお、今回修正された脆弱性は以下の製品にも影響する。利用中の場合は、以下のバージョンへのアップデートを怠らないようにしよう。

• Firefox for Android：v100.3.0
• Firefox ESR：v91.9.1
• Thunderbird：v91.9.1

　「Thunderbird」はWindows/Mac/Linuxに対応する寄付歓迎のフリーソフトで、Windows版はWindows 7以降で利用可能。現在、公式サイト「thunderbird.net」からダウンロードできるほか、Windows版は窓の杜ライブラリからもダウンロード可能。すでに利用している場合は、自動更新機能でアップデートされる。

「Thunderbird」v91.9.1