ゼロデイ脆弱性の報告から解決までたった25時間 ～Mozillaが対応の早さをアピール

「Firefox」で修正されたゼロデイ脆弱性は「CVE-2024-9680」

　先日「Firefox」で修正されたゼロデイ脆弱性は「CVE-2024-9680」は、報告からわずか25時間で原因を特定・修正された。Mozillaが公式ブログ「Mozilla Security Blog」で、その対応力をアピールしている。

　「Firefox」の開発チームはセキュリティを重視しており、たとえば今年3月にハッキング大会「Pwn2Own 2024」で報告されたシステム乗っ取りの脆弱性にも即座に対応している。同様の欠陥は「Google Chrome」でも報告されたが、修正は「Firefox」の方が早かった。

　今回の脆弱性対応で難しかったのは、脆弱性の報告が「Pwn2Own」のときのように予見可能ではなかったことだ。報告者による攻撃の実演もなければ、そのメカニズムの解説もない。

　ESET社が問題をMozillaへ報告したのは、米国東部時間10月8日午前8時頃のこと。送られてきたサンプルには、ユーザーのPC上でリモートコード実行を可能にする完全なエクスプロイトチェーンが含まれていたという。Mozillaはサンプルを受け取って1時間以内にセキュリティ、ブラウザー、コンパイラー、プラットフォームの各エンジニアからなるチームを招集し、エクスプロイトのリバースエンジニアリングを行い、ペイロードを強制的にトリガーさせて、その動作を理解した。つまり、攻撃コードの解析をほぼ完了させた。

　結局、そこからパッチの作成と配布までは25時間を要しなかった。「Pwn2Own 2024」のときでさえ21時間かかったことを考えると、困難の割に非常に迅速な対応だったといえるだろう。

　なお、この脆弱性は「Thunderbird」でも修正されたほか、派生ブラウザー「Tor Browser」で攻撃が確認されているとしてその開発チームへの注意喚起が行われた。いずれも修正が完了しているので、最新版へアップデートしていれば攻撃を受けることはない。

　Mozillaは「Firefox」の脆弱性の解決を完了したが、今後も引き続きエクスプロイトの分析を進め、攻撃を困難にし、脆弱性の発生頻度を抑えるためのセキュリティ強化策を模索するとしている。また、こうした攻撃コードが発見されるのはなにも「Firefox」だけではないと強調。すべてのWebブラウザーやOSでもありうることだとし、ソフトウェアを常に最新に保つ重要性を訴えている。