「Firefox 150.0.3」が公開 ～ハッカーから報告された任意コード実行の脆弱性に緊急対処

「Firefox」v150.0.3

　Mozillaは5月12日（米国時間）、デスクトップ向け「Firefox」の最新版v150.0.3をリリースチャネルで公開した。先週に続くマイナーアップデートで、パスワード入力欄に入力した文字が印刷プレビューや印刷結果にマスクされずに表示されることがある問題が対処されたほか、重大なセキュリティ修正が緊急で実施されている。

　今回のアップデートで修正された脆弱性は、以下の5件。深刻度はいずれも4段階中上から2番目の「High」と評価されている。

• CVE-2026-8388：Incorrect boundary conditions in the JavaScript Engine: JIT component
• CVE-2026-8389：JIT miscompilation in the JavaScript Engine: JIT component
• CVE-2026-8390：Use-after-free in the JavaScript: WebAssembly component
• CVE-2026-8391：Other issue in the JavaScript Engine component
• CVE-2026-8401：Sandbox escape in the Profile Backup component

　なお、「CVE-2026-8390」を除くすべての脆弱性は、ggwhypを名乗るセキュリティ研究者が報告したものだ。Windows版「Firefox」から任意のコードを実行できてしまうことが実証されている。

I was hoping to compete in Pwn2Own with a Firefox full-chain entry, but unfortunately it was rejected. I’ve reported the vulnerability to the Mozilla team.pic.twitter.com/Hhn7e22t7s

— ggwhyp (@ggwhyp)May 11, 2026

　これらの脆弱性は、もともとベルリンで開催されるハッキングコンテスト「Pwn2Own 2026」に提出されるはずだったが、今年は参加枠が足りず、受理されなかったようだ。「Firefox」の開発チームに報告され、去年と同様、即日対処された。

　デスクトップ版「Firefox」はWindows/Mac/Linuxなどに対応する寄付歓迎のフリーソフトで、現在MozillaのWebサイトからダウンロード可能。Windows版はWindows 10/11に対応しており、窓の杜ライブラリからもダウンロードできる。