ハッキング大会「Pwn2Own」で「Firefox」がまた陥落……するも、「本丸」は死守！

Mozillaのアナウンス

　先週末、ドイツのベルリンでハッキング大会「Pwn2Own Berlin 2025」がTrendMicroのZero Day Initiative（ZDI）により開催され、今回も多くの研究者がさまざまなOSやアプリのセキュリティ機構に挑みました。この攻略対象には例年通り「Firefox」も入っています。去年は攻略されてしまいましたが、果たして今年は――？

　結果は、残念ながら今回も攻略となりました。Palo Alto Networksの研究者や元Master of PwnのManfred Paul氏が境界外アクセスの脆弱性を悪用して「メモ帳」や「電卓」を実行することに成功し、それぞれ50,000米ドルと攻略ポイントを獲得しています。

• CVE-2025-4920：Out-of-bounds access when resolving Promise objects
• CVE-2025-4921：Out-of-bounds access when optimizing linear sums

2日目、「Firefox」が破られ「メモ帳」アプリが実行される

3日目、「Firefox」が破られ「電卓」アプリが実行される

　しかし、Mozillaによると、プロセスを分離して被害の拡大を防止するサンドボックス機構まではやられなかった模様。つまり、乗っ取られてしまったのはアプリの一部のみ（今回はブラウザーのタブ）で、OS全体を乗っ取るところまでは行きませんでした。城門は破られたけれど、本丸の天守閣は紙一重で守り切ったといったところでしょうか。サンドボックス機構の有効性が証明された格好です。

　とはいえ、致命的な脆弱性であることには変わりがないので、Mozillaの開発チームは今年も21時間以内に対策パッチを作成し、デスクトップ版「Firefox 138.0.4」、「Firefox ESR 128.10.1」、「Firefox ESR 115.23.1」とAndroid版のリリースにこぎつけました（みなさん、今すぐバージョンアップしましょう！）。

　Mozillaのチームは「Pwn2Own」で「Firefox」が標的になることは知らされているものの、具体的などんな攻撃が行われるかは事前に明かされていませんでした。2日にわたり2回も陥落させられたので、原因の分析や対策の検討といった作業も去年より重くなったはずですが……Mozillaの対応の早さは見事、感服するしかありません。