ニュース
「Firefox」にも「Google Chrome」ゼロデイ脆弱性と同様の問題、修正版が緊急公開
プロセス間通信(IPC)処理にサンドボックス迂回のおそれ
2025年3月28日 09:26
Mozillaは3月27日(米国時間)、デスクトップ向け「Firefox」の最新版v136.0.4をリリースチャネルで公開した。先日「Firefox 136.0.3」が公開されたばかりだが、緊急を要するセキュリティ修正が1件含まれている。
本バージョンでは、プロセス間通信(IPC)で意図しないハンドルを子プロセスから親プロセスに返却させることで、サンドボックスから抜け出せてしまう欠陥(CVE-2025-2857)が対処された。「Chromium」で発見された脆弱性「CVE-2025-2783」をきっかけに開発者が「Firefox」を調査した結果、「Firefox」のIPCコードにも同様のパターンがあることが特定されたという。深刻度の評価は、4段階中最高の「Critical」。
「Chromium」で発見された「CVE-2025-2783」はすでに悪用の報告があり、「Firefox」でも同じような攻撃にさらされる可能性がある。法人向けの長期サポート版「Firefox ESR」も含め、以下の修正済みバージョンへできるだけ早くアップデートすることをお勧めする。
- Firefox 136.0.4
- Firefox ESR 115.21.1
- Firefox ESR 128.8.1
なお、この問題はWindows環境にのみ影響する。他のプラットフォームには影響しない。「Chromium」で発見された脆弱性「CVE-2025-2783」(「Google Chrome」、「Microsoft Edge」などで修正済み。
デスクトップ版「Firefox」はWindows/Mac/Linuxなどに対応する寄付歓迎のフリーソフトで、現在MozillaのWebサイトからダウンロード可能。Windows版はWindows 10/11に対応しており、窓の杜ライブラリからもダウンロードできる。