ニュース

ハッキング大会「Pwn2Own」で陥落した「Firefox」、即座にセキュリティ更新を実施

深刻度「Critical」、「Firefox 124.0.1」「Firefox ESR 115.9.1」へのアップデートを

「Firefox」v124.0.1

 Mozillaは3月22日(米国時間)、デスクトップ向け「Firefox」の最新版v124.0.1をリリースチャネルで公開した。以下の脆弱性に対処した緊急のセキュリティアップデートとなっている。

  • CVE-2024-29943:bounds check elimination(配列アクセスの範囲チェックを省略して高速化する仕組み)を騙すことで、JavaScriptオブジェクトが範囲外読み書きできるようになる
  • CVE-2024-29944:特権オブジェクトにイベントハンドラーを注入することで、親プロセスで任意のJavaScriptを実行できてしまう。デスクトップ版Firefoxのみに影響

 法人向けの延長サポートリリース「Firefox ESR」でも、修正版の「Firefox ESR 115.9.1」がリリースされているので注意したい。

 これらの欠陥は、先日開催されたハッキングコンテスト「Pwn2Own Vancouver 2024」で発表され、Windows 11で動作する「Firefox」のサンドボックス機構を攻略するために用いられた。報告者のManfred Paul氏には100,000米ドルとポイントが贈られ、見事優勝を飾っている。

Windows 11で動作する「Firefox」のサンドボックス機構を攻略

 デスクトップ版「Firefox」はWindows/Mac/Linuxなどに対応する寄付歓迎のフリーソフトで、現在MozillaのWebサイトからダウンロード可能。Windows版はWindows 10以降に対応しており、窓の杜ライブラリからもダウンロードできる。