ハッキング大会「Pwn2Own」で陥落した「Firefox」、即座にセキュリティ更新を実施

「Firefox」v124.0.1

　Mozillaは3月22日（米国時間）、デスクトップ向け「Firefox」の最新版v124.0.1をリリースチャネルで公開した。以下の脆弱性に対処した緊急のセキュリティアップデートとなっている。

• CVE-2024-29943：bounds check elimination（配列アクセスの範囲チェックを省略して高速化する仕組み）を騙すことで、JavaScriptオブジェクトが範囲外読み書きできるようになる
• CVE-2024-29944：特権オブジェクトにイベントハンドラーを注入することで、親プロセスで任意のJavaScriptを実行できてしまう。デスクトップ版Firefoxのみに影響

　法人向けの延長サポートリリース「Firefox ESR」でも、修正版の「Firefox ESR 115.9.1」がリリースされているので注意したい。

　これらの欠陥は、先日開催されたハッキングコンテスト「Pwn2Own Vancouver 2024」で発表され、Windows 11で動作する「Firefox」のサンドボックス機構を攻略するために用いられた。報告者のManfred Paul氏には100,000米ドルとポイントが贈られ、見事優勝を飾っている。

Windows 11で動作する「Firefox」のサンドボックス機構を攻略

　デスクトップ版「Firefox」はWindows/Mac/Linuxなどに対応する寄付歓迎のフリーソフトで、現在MozillaのWebサイトからダウンロード可能。Windows版はWindows 10以降に対応しており、窓の杜ライブラリからもダウンロードできる。