Firefox v147.0.3 Released with Critical Fix for Heap Buffer Overflow Vulnerability
2026/02/17 gbhackers — Mozilla が公開したのは、libvpx ライブラリに存在する深刻なヒープバッファ・オーバーフローの脆弱性 CVE-2026-2447 に対処する緊急セキュリティ・アップデートである。Firefox 147.0.4 は 2026年2月16日に発表され、Firefox ESR 140.7.1/115.32.1 向けの修正パッチも同時に提供された。この脆弱性は、セキュリティ研究者 jayjayjazz により発見されたものである。
VP8/VP9 動画フォーマット処理において、Firefox が使用する libvpx ライブラリに、この脆弱性は影響を及ぼす。ヒープバッファ・オーバーフローとは、割り当てられたメモリ・バッファ領域を超えて、プログラムがデータを書き込むことで発生し、攻撃者による任意コード実行やブラウザ・クラッシュを招く可能性がある。
悪意の Web サイトや動画コンテンツを介して、この種の脆弱性は悪用されることが多く、ユーザー・システムへの侵害に直結する可能性があるため特に危険である。
| CVE ID | CVSS Score | Severity | Description |
|---|---|---|---|
| CVE-2026-2447 | N/A | High | Heap buffer overflow vulnerability in libvpx library affecting video processing |
動画処理機能へ影響
Mozilla は、この脆弱性 CVE-2026-2447 の深刻度を High と評価しており、Firefox ユーザーに対して深刻なセキュリティ・リスクをもたらすと警告している。この欠陥を悪用するリモート攻撃者は、特別に細工された Web サイトへのアクセスや、悪意の動画ファイルの再生へとユーザーを誘導し、その PC 上で任意のコードを実行する可能性がある。デスクトップ/モバイルで広く利用される Firefox における、迅速なパッチ展開が示すのは、この脅威の深刻さである。
影響および修正バージョン
| Firefox Edition | Vulnerable Versions | Patched Version |
|---|---|---|
| Firefox | < 147.0.4 | 147.0.4 |
| Firefox ESR | < 140.7.1 | 140.7.1 |
| Firefox ESR | < 115.32.1 | 115.32.1 |
ユーザーに対して強く推奨されるのは、ブラウザにビルトインされた更新機能、または、 Mozilla 公式 Web サイトからの最新版の取得により、Firefox を速やかにアップデートすることだ。この脆弱性は、Windows/macOS/Linux を含む主要プラットフォーム上における、Firefox の各バージョンに影響する。詳しくは、上記の表を参照してほしい。
脆弱性 CVE-2026-2447 (High) の原因は、Firefox が使用する libvpx におけるヒープバッファ・オーバーフローの欠陥にあります。VP8/VP9 動画処理中に、割り当てられたメモリ領域を超えて書き込みが行われる設計上の欠陥がありました。その結果として、細工された動画コンテンツや Web サイトを介した、任意のコード実行やブラウザ・クラッシュが発生する可能性があります。影響は Firefox 147.0.4 未満および Firefox ESR 140.7.1/115.32.1 未満に及び、修正版である 147.0.4/140.7.1/115.32.1 で対処されています。ご利用のユーザーは、ご注意ください。よろしければ、Firefox での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.