Mozilla Firefox/Thunderbird の深刻な脆弱性が FIX:フィッシングに悪用される可能性

Mozilla Patches High-Severity Vulnerabilities in Firefox, Thunderbird

2022/08/25 SecurityWeek — 今週に Mozilla は、Firefox および Thunderbird に存在する、複数の深刻な脆弱性に対してパッチを適用した。Firefox 104 (Firefox ESR 91.13/102.2) に関しては、XSLT エラー処理に関連するアドレスバー偽装の可能性という深刻な欠陥にパッチが提供された。この脆弱性 CVE-2022-38472 は、フィッシングに悪用される可能性がある。

また、Firefox の最新リリースでは、セキュリティとプライバシーにリスクをもたらす可能性のある、cross-origin XSLT ドキュメントに関する、脆弱性 CVE-2022-38473 も解決されている。Mozilla は、「XSLT ドキュメントを参照する cross-origin iframe は、親ドメインの権限 (マイク/カメラへのアクセスなど) を継承する」と説明している。

どちらの脆弱性も、研究者である Armin Ebert から、Mozilla に報告されたものだ。


Firefox でパッチが適用された、もう1つのマイクに関連する欠陥は、脆弱性の CVE-2022-38474 である。Android のケースでは、マイクにアクセスする権限を持つ Web サイトが、通知することなく音声を録音できる。ただし、実際には、攻撃者による許可プロンプトの回避が不可能なため、この欠陥の深刻度は Low に留まっている。

さらに、脆弱性 CVE-2022-38477/CVE-2022-38478 が、任意のコードの実行につながる可能性のある不正確なメモリ処理の問題に割り当てられている。

これらの脆弱性の大半は、Thunderbird でも修正されている。Mozilla は、「Thunderbird ではスクリプトが無効化されているため、これらの不具合がメールを通じて悪用されることはない。ただし、ブラウザまたはブラウザ・ライクなコンテキストでは潜在的なリスクがある」と指摘している。

米国の Cybersecurity and Infrastructure Security Agency (CISA) は、Mozilla の勧告を確認し、必要なパッチをインストールするよう、各連邦政府組織に促している (ただし、悪用脆弱性リスト KEV には、現時点では追加していない)。

現在、最も標的とされる Web ブラウザは Chrome のようだが、脅威アクターたちは Firefox を無視してきたわけではない。2022年3月に Mozilla は、活発に悪用されている2つのゼロデイを修正する、緊急アップデートを発行している。

Google と CISA が収集したデータによると、過去 10 年間に Firefox の脆弱性が悪用されていたのは、およそ 10 件だと判明している。

Mozilla の脆弱性が FIX とのことですが、アドレスバー偽装の可能性というのは、かなり気持ちの悪い問題ですね。最近のフィッシング・キャンペーンなどを見ていると、URL の確認などが必要なケースも多いはずです。Firefox をお使いの方は、アップデートをお急ぎください。このところの、Mozilla に関するトピックですが、最新のものは 5月24日の「Pwn2Own Vancouver ハッキングコンテスト:Mozilla 製品群の2つのゼロデイ脆弱性が FIX」でした。

%d bloggers like this: