Firefox 140 Launches with Critical Code Execution Bug Fix – Update Now
2025/06/26 gbhackers — Mozilla が Firefox 140 を正式にリリースした。そこに取り込まれたセキュリティ・アップデートには、深刻なコード実行の脆弱性に対する修正などが含まれる。ユーザーに対して強く推奨されるのは、Firefox を 最新の 140 へと速やかにアップデートし、これらの脆弱性を悪用する、潜在的な攻撃から保護することである。
Firefox 140 における重要なセキュリティ修正
Firefox 140 のハイライトは、FontFaceSet コンポーネントにおける深刻な解放後メモリ使用の脆弱性などの、深刻度の高いメモリ安全性に関するバグの修正である。
これら脆弱性を悪用する攻撃者は、ユーザーのマシン上での任意のコード実行の可能性を手にするため、セキュリティ上の重大なリスクが生じることになる。
Firefox 140 では、合計で 13 件のセキュリティ脆弱性が修正されており、そのうち2件は、深刻度の高いメモリ安全性の問題に分類されている。
この2件の脆弱性には、前述の解放後メモリ使用の問題と、リモート・コード実行に悪用される可能性のあるメモリ破損欠陥が含まれる。
Mozilla のセキュリティ・チームが推奨するのは、ユーザーの迅速な対応によるリスクの軽減だが、現時点において、これらのバグが実際に悪用されたという証拠はないと述べている。
追加機能と改善点
セキュリティ以外にも、Firefox 140 では、ユーザビリティとパフォーマンスに関する、いくつかの改善が行われている。
今回のアップデートでは、垂直タブ機能が改良され、ピン留めされたセクションのサイズ変更や、表示されているタブの管理が、より効率的に行えるようになった。新しい “Unload Tab” オプションにより、非アクティブなタブのバックグラウンド処理を一時停止し、メモリと CPU の使用量を削減できるようになった。
その他のアップデートとしては、アドレス自動入力機能の拡張/アラビア語スペルチェック辞書の組み込みなどに加えて、新しいタブ・インターフェイスの合理化などが行われている。
このリリースで修正された、主要な脆弱性を以下の表に示す。
| CVE | Impact | Description |
| CVE-2025-6424 | High | Exploitable crash due to use-after-free bug |
| CVE-2025-6425 | Moderate | Persistent UUID could identify browser across modes |
| CVE-2025-6426 | Moderate | No warning before opening terminal files, macOS only |
| CVE-2025-6427 | Moderate | Attacker could bypass CSP connect-src directive |
| CVE-2025-6428 | Moderate | Android version followed malicious URLs in querystring, potential phishing |
| CVE-2025-6429 | Moderate | URL parsing flaw could bypass domain embedding restrictions |
| CVE-2025-6430 | Moderate | Ignored header could lead to cross-site scripting |
| CVE-2025-6436 | High | Memory corruption could allow arbitrary code execution |
現時点において Mozilla は、これらの脆弱性を悪用した事例は報告されていないと述べている。その一方で、Firefox 140 への早急なアップデートの重要性を強調している。
このパッチは、Windows/macOS/Linux/Android などのプラットフォームに提供される。また、Firefox ESR (Extended Support Release) ユーザーも、最新バージョンへのアップデートにより、継続的な保護が可能になる。
アップデートする際には、ブラウザのメニューから “Help” → “About Firefox” を選択し、画面の指示に従い、最新のセキュリティ・アップデートをインストールしてほしい。
Firefox 140 のリリースは、セキュリティとユーザビリティの両面での重要なアップデートという感じですね。メモリ安全性に関する脆弱性 CVE-2025-6424/CVE-2025-6436 は、任意コード実行の恐れがあると、この記事は指摘しています。ご利用のユーザーさんは、ご注意ください。よろしければ、Firefox で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.