High-Severity Mozilla Flaws Allow Remote Code Execution
2025/08/21 gbhackers — Mozilla がリリースした Firefox 142 は、影響を受けるシステムにおいて、リモート攻撃者に対して任意のコード実行などを許す、複数の深刻な脆弱性に対処するためのものである。2025年8月19日に公開された、Mozilla Foundation Security Advisory 2025-64 で解説されるのは、深刻なリモート・コード実行 (RCE)/サービス拒否 (DoS)/スプーフィング 攻撃につながる恐れのある、9件の脆弱性に関する情報である。
深刻なリモートコード実行の脆弱性
最も懸念されるのは、リモート・コード実行を引き起こす可能性のある、メモリの安全性に関するバグである。研究者たちがメモリ破損の証拠を提示している、3件のメモリ安全性に関連する CVE は、Firefox/Thunderbird の複数バージョンに影響を及ぼし、練度の高い攻撃者による悪用の可能性が生じるものだ。
- CVE-2025-9187:Firefox 142/Thunderbird 142 で修正されたメモリの安全性に関するバグ。
- CVE-2025-9184:Firefox ESR 140.2/Thunderbird ESR 140.2 を含む、広範なバージョンに影響を及ぼす。
- CVE-2025-9185:Firefox ESR 115.26 まで遡る、ESR リリースに影響を及ぼすメモリ破損の問題。
| CVE ID | Impact | Description |
| CVE-2025-9179 | High | Sandbox escape due to invalid pointer |
| CVE-2025-9180 | High | Same-origin policy bypass |
| CVE-2025-9181 | Moderate | Uninitialized memory |
| CVE-2025-9182 | Low | Denial-of-service due to out-of-memory |
| CVE-2025-9183 | Low | Spoofing issue |
| CVE-2025-9186 | Low | Spoofing issue |
| CVE-2025-9187 | High | Memory corruption bugs |
| CVE-2025-9184 | High | Memory corruption bugs (ESR versions) |
| CVE-2025-9185 | High | Memory corruption bugs (multiple ESR versions) |
その他の深刻度の高い脆弱性
CVE-2025-9179:Audio/Video GMP コンポーネントに存在する、サンドボックス回避の脆弱性であり、研究者 Oskar により報告された。暗号化メディア処理を担う高度にサンドボックス化された GMP プロセス内で、メモリ破損を誘発し、通常のコンテンツ処理を超えた権限昇格を引き起こす。
CVE-2025-9180:Graphics Canvas2D コンポーネントに存在する、同一オリジン・ポリシー回避の脆弱性。悪意の Web サイトが、認証を必要とすることなく、他ドメインのリソースへのアクセスを可能にする。この脆弱性は Tom Van Goethem により発見された 。
アップデートの必要性
組織/個人ユーザーに対して強く推奨されるのは、これら脆弱性から防御するために、直ちに Firefox 142 へと更新することである。
これらの脆弱性を介して、サンドボックス回避とメモリ破損が組み合わされると、悪意の Web サイトや侵害済みコンテンツを経由した侵害が達成され、攻撃範囲が大きく広がってしまう。そのため、迅速なアップデートの適用による、ブラウザのセキュリティ維持が不可欠となる。
Firefox 142 で修正された、深刻な脆弱性について説明する記事です。中心となるのは、メモリ安全性に関するバグであり、メモリ破損や境界外書き込みといった不具合により、攻撃者に対して任意のコード実行を許し、その結果として、システム制御を奪われる可能性が指摘されています。ご利用のユーザーさんは、ご注意ください。よろしければ、Firefox で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.