Mozilla fixes Firefox zero-days exploited at hacking contest
2025/05/19 BleepingComputer — Mozilla が公表したのは、先日に開催された Pwn2Own Berlin 2025 ハッキング・コンテストで実証された、Firefox の2件のゼロデイ脆弱性に対処するための、緊急セキュリティ・アップデートのリリースである。これらの修正の対象には、Firefox の Desktop/Android および、2つの Extended Support Releases (ESR) が含まれる。これらの脆弱性が報告された、5月17日 (土) の Pwn2Own から、わずか数時間後に修正版はリリースされている。
1件目の脆弱性 CVE-2025-4918 は、Promise オブジェクトを解決する際に発生する、JavaScript エンジンにおける境界外 Read/Write の問題である。
この脆弱性は、コンテストの2日目に、Palo Alto Networks のセキュリティ研究者 Edouard Bochin と Tao Yan により実証され、両氏に対して報奨金 $50,000 が支払われることになった。
2件目の脆弱性 CVE-2025-4919 は、配列のインデックス・サイズの混同を悪用する攻撃者が、JavaScript オブジェクトによる境界外 Read/Write を可能にする欠陥である。
この脆弱性を発見したのは、プログラムのレンダラーへの不正アクセスを実証した、セキュリティ研究者の Manfred Paul であり、同氏には報奨金 $50,000 が支払われることになった。
これらの脆弱性は、Firefox にとって重大なリスクであり、Mozillaはセキュリティ情報で Critical と評価している。ただし Mozilla は、どちらの研究者もサンドボックスからの脱出には成功しなかったことを強調し、サンドボックスの強化に注力していると述べている。
Firefox は声明の中で、「昨年とは異なり今年は、その参加グループも、サンドボックスからの脱出には成功しなかった。Firefox サンドボックスにおける、最近のアーキテクチャ改善により、このような攻撃が幅広く無効化された。参加者たちとの会話の中で、それが確認された」と説明している。
Pwn2Own で実証された、これらの脆弱性が実際に悪用された兆候は見られないが、この公開により、いまにでも実際の攻撃が活発化する可能性がある。
世界規模で多様なタスクフォースを結成する Mozilla は、実証された脆弱性に対する修正プログラムの開発/試験に加えて、セキュリティ・アップデートの迅速な提供に尽力している。
Firefox ユーザーに強く推奨されるのは、バージョン 138.0.4/ESR 128.10.1/ ESR 115.23.1 への速やかなアップグレードにより、このリスクを軽減することだ。
Pwn2Own Berlin 2025 は 5月17日 (土) に終了し、100 万ドル以上の賞金が提供され、STAR Labs SG チームが “Master or Pwn” のタイトルを獲得した。昨年の Pwn2Own Vancouver 2024 でも、2件の Firefox ゼロデイ脆弱性が実証され、その翌日に Mozilla は修正を行っている。
Mozilla Firefox のゼロデイ脆弱性が修正されました。現時点では実際の悪用は確認されていないようですが、すでに実証された脆弱性であることから、今後の攻撃が活発化する可能性もあります。ユーザーの皆さんは、アップデートを忘れないよう、ご注意ください。よろしければ、Firefox で検索も、ご参照下さい。
IoT OT Security News 
You must be logged in to post a comment.