Mozilla Firefox 97.0.2 fixes two actively exploited zero-day bugs
2022/03/06 BleepingComputer — Mozilla は、Firefox 97.0.2/Firefox ESR 91.6.1/Firefox for Android 97.3.0/Focus 97.3.0 をリリースし、活発に悪用されている2つの深刻なゼロデイ脆弱性を修正した。どちらのゼロデイ脆弱性も、Use-after-free バグであり、過去に消去されたメモリがプログラムから使用されてしまうものだ。このタイプのバグの悪用に成功した脅威アクターに対して、プログラムがクラッシュすると同時に、デバイス上でのコマンド実行を許す可能性が生じる。
これらのバグは、デバイスへのアクセスを可能にするマルウェアのダウンロードを含む、ほぼ全てのコマンドの実行を、リモートの攻撃者に許す可能性があるため深刻である。
Mozilla が修正したゼロデイ脆弱性は以下の通りとなる。
- CVE-2022-26485:XSLT パラメータ処理における Use-after-free:プロセスの処理中に XSLT パラメータを削除すると、悪用可能な Use-after-free が発生する可能性がある。この不具合を悪用した攻撃が、実際に報告されている。
- cve-2022-26486: WebGPU IPC フレームワークの Use-after-free: WebGPU IPC フレームワークにおける想定外のメッセージは、use-after-free と悪意のあるサンドボックス・エスケープにつながる可能性がある。この不具合を悪用した攻撃が、野放しになっているとの報告がある。
Mozilla のセキュリティ・アドバイザリで説明されているように、これらの脆弱性を積極的に悪用する野放し状態の攻撃の報告を、Firefox の開発者は認識している。Mozilla は、これらのゼロデイ脆弱性が、どのような攻撃に悪用されるのかについては、詳細な情報を共有していないが、Firefox ユーザーを細工された悪意の Web ページにリダイレクトすることなどが考えられる。
これらの脆弱性は、中国のサイバー・セキュリティ企業である Qihoo 360 ATA により発見され、Mozilla に対して開示された。これらのバグは深刻なものであり、活発に悪用されているため、直ちにブラウザをアップデートすることが、すべての Firefox ユーザーに強く推奨される。
また、Windows/macOS/Linux 用の Mozilla Firefox の最新版は、以下のリンクからダウンロードできる。
- Firefox 97.0.2 for Windows 64-bit
- Firefox 97.0.2 for Windows 32-bit
- Firefox 97.0.2 for macOS
- Firefox 97.0.2 for Linux 64-bit
- Firefox 97.0.2 for Linux 32-bit
Firefox menu > Help > About Firefox により、新しいアップデートの有無を手動で確認できる。Firefox は自動的に最新のアップデートを確認し、インストールし、ブラウザを再起動するよう促す。
Firefox の脆弱性ですが、お隣のキュレーション・チームに聞いてみたら、3月8日にレポートしたとのことで、深刻度はどちらも Critical とのことでした。それから数日後に、Ubuntu と Debian もアドバイザリを公表していました。最近の Mozilla の問題としては、2021年12月1日の「Mozilla の暗号ライブラリ Network Security Services の深刻なバグが FIX」や、2022年1月12日の「Firefox 96 でフィッシングを止めろ:フルスクリーン通知バイパスの脆弱性などが FIX」、2月8日の「Mozilla Firefox 97 でバグ FIX:Windows 管理者への不正な権限昇格」などがありました。よろしければ、ご参照ください。
IoT OT Security News 