WebPのゼロデイ脆弱性は「Firefox」などにも影響 ～「Firefox 117.0.1」が公開

「Firefox」v117.0.1

　Mozillaは9月12日（米国時間）、デスクトップ向け「Firefox」の最新版v117.0.1をリリースチャネルで公開した。以下の不具合に対処したマイナーアップデートとなっている。

• macOS版「Firefox」で外部から開かれたリンクを正常に開けない
• 長時間実行されるタスクのイベントページを使用する拡張機能が実行中に終了し、予期しない動作変更を引き起こす
• JavaScriptがURL.protocolを変更できないようにする意図的な動作変更を一時的に撤回。他のWebブラウザーと足並みをそろえて後日リリース
• WebAssemblyの例外処理を使用しているサイトでオーディオワークレットが動作しない
• ［最近閉じたタブ］メニューの［すべてのタブを再開］オプションですべてのタブを開けなかった
• 「Firefox」を最小化したときにブックマークメニューが部分的に表示されたままになることがあった
• 一部のサイトで不正なタイムゾーンが検出される

　セキュリティ関連の修正は、WebP画像を処理するライブラリ「libwebp」におけるヒープバッファーオーバーフローの脆弱性（CVE-2023-4863）のみ。すでに悪用が確認されており、深刻度は最大の「Critical」と評価されている。

　この問題は「Firefox ESR」や「Thunderbird」にも影響し、以下のバージョンへの更新が必要。「Google Chrome」や「Microsoft Edge」でもセキュリティアップデートが提供されている。

• Firefox 117.0.1
• Firefox ESR 115.2.1
• Firefox ESR 102.15.1
• Thunderbird 102.15.1
• Thunderbird 115.2.2

　デスクトップ版「Firefox」はWindows/Mac/Linuxなどに対応する寄付歓迎のフリーソフトで、現在MozillaのWebサイトからダウンロード可能。Windows版はWindows 10以降に対応しており、窓の杜ライブラリからもダウンロードできる。