Firefox Fixes High-Severity Vulnerability Causing Memory Corruption via Race Condition
2025/04/16 gbhackers — Mozilla が発表したのは、攻撃者に対してメモリ破損の悪用を許す可能性のある、深刻度の高いセキュリティ脆弱性を修正する Firefox 137.0.2 のリリースである。この修正は、Mozilla Foundation セキュリティ・アドバイザリ 2025-25 に記載されているように、Mozillaファジング・チームによる、脆弱性の発見と報告を受けて行われたものである。
脆弱性の詳細
修正された脆弱性 CVE-2025-3608 は、Firefox の nsHttpTransaction コンポーネントに存在するものだ。
このコンポーネント内の競合状態によりメモリ破損が発生し、任意のコード実行やブラウザの不安定化の機会を、攻撃者に許す可能性がある。
この脆弱性が実際に悪用されたという証拠はないが、メモリ破損の脆弱性に関連するリスクへの攻撃は、深刻な被害を引き起こす可能性があるため、深刻度は High に分類されている。
Mozilla は、この問題を発見した社内のファジング・チームに対して、謝意を示している。ファジングとは、大量のランダム・データを、プログラムに対して高速で入力することで、コーディング・エラーやセキュリティ上の抜け穴を発見する、自動テストの手法のことである。
Mozilla のセキュリティ・アドバイザリによると、この競合状態は、Firefox のネットワーク・トランザクション・メカニズムにおける、コンカレント・プロセスの不適切な処理に起因するという。
この脆弱性は、特定のネットワーク条件下において、複数のスレッドが同時にメモリ領域にアクセスし、変更を試みる場合に発生し、未定義の動作/ブラウザの不安定化/データ漏洩などにつながる可能性がある。
この脆弱性は、Mozilla のバグ追跡システムの “Bug 1951554” として記録されている。この問題によるリスクを軽減するために、ユーザーに対して強く推奨されるのは、Firefox 137.0.2 へのアップデートである。
Mozilla は、脆弱性への迅速な対応とバグ検出手法の改善を通じて、セキュリティを最優先にしている。Mozilla が、すべてのユーザーと管理者に対して推奨するのは、システムを最新の状態に保つことである。
| CVE ID | Product | Impact | Fixed In | Description |
| CVE-2025-3608 | Firefox | High | Firefox 137.0.2 | Race condition in nsHttpTransaction could lead to memory corruption |
Firefox を利用しているユーザーは、バージョン 137.0.2 以降へのアップデートを優先してほしい。
定期的なアップデートには、新たに発見された脆弱性に対する重要なパッチが含まれるため、機能とセキュリティの両方を維持するために不可欠である。
Mozilla のプロアクティブなアプローチは、進化するセキュリティ脅威に対する、オープンなコラボレーションと継続的な警戒の重要性を示している。
Firefox の脆弱性 CVE-2025-3608 が FIX しました。ご利用の方は、アップデートを忘れないよう、ご注意ください。よろしければ、以下の関連記事も、Firefox で検索と併せてご利用ください。
2025/03/13:Firefox ユーザーに警告:ルート証明書の有効期限切れに注意
2025/02/25:Firefox における Manifest V2 のサポート継続
IoT OT Security News 
You must be logged in to post a comment.