CVE-2024-2615: Update Firefox Now! Zero-Click Attacks Possible
2024/03/19 SecurityOnline ‐‐‐ Mozilla は、Firefox (Firefox 124/Firefox ESR 115.9) と Thunderbird (115.9) の、緊急セキュリティ・アップデートをリリースした。今回のアップデートで修正されたのは、深刻なリモート・コード実行の脆弱性のほか、システムのサンドボックス・エスケープ/システムのクラッシュ/データの窃取/設定の操作などを、攻撃者にゆるす可能性がある、危険性の高い複数の脆弱性だ。
なぜ危険なのか?
最も危険な脆弱性 CVE-2024-2615 は、深刻度 “Critical“ に分類されており、悪用に成功した攻撃者は、ターゲットのコンピュータ上で悪意のコードを実行する可能性がある。他の5つの脆弱性も、深刻度 “High” に分類されているため、今回のアップデートは必須だと言える。
これらの脆弱性は、個人的な電子メールや財務情報から、オペレーティング・システムの安定性にいたるまで、あらゆるものに影響を及ぼす可能性がある。現時点で、これらの欠陥が積極的に悪用されているという報告はないが、すぐに悪用される可能性が高い。
それぞれの脆弱性の詳細
Mozilla が修正した脆弱性の詳細は以下の通りだ:
- Critical:
- CVE-2024-2615:メモリ安全性の脆弱性で、リモート・コード実行が生じる可能性がある。
- High:
- CVE-2024-2605;Windows システムのサンドボックス・エスケープの脆弱性。
- CVE-2024-2606:内部コード構造の不適切な取り扱いの脆弱性。
- CVE-2024-2607:古い ARM ベースのデバイスに特有の、コード実行の脆弱性。
- CVE-2024-2608:整数オーバーフローの脆弱性。悪用に成功した攻撃者は、意図した領域外に悪意のコードを書くことが可能になる。
- CVE-2024-2614:メモリ安全性の脆弱性。コード実行が生じる可能性がある。
行うべき対策は?
- 今すぐアップデートする:Mozilla のアップデートは自動的に配信されるはずだが、手動でチェックするのがベストだ。Firefox の “Help” メニューから “About Firefox” を選択すると、自動的にアップデートが始まるはずだ。Thunderbird の場合も、同じような手順でアップデートできる。
- 警戒を怠らない:パッチを適用しても、オンライン安全の原則を忘れないことが必要だ。
- 予期せぬメールのリンクや、添付ファイルに注意すること。
- ダウンロードやアップデートは、信頼できる Web サイトを利用すること。
- ウイルス対策ソフトを、常に最新の状態に保つこと。
Firefox と Thunderbird に、複数の脆弱性が出てきました。内訳としては、Critical が1件で、High が5件です。ご利用の方は、速やかにアップデートしてください。よろしければ、Firefox で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.