Firefox 152 がリリース:RCE などの複数の脆弱性に対応

Multiple Vulnerabilities in Firefox 152 Enables Remote Code Execution Attacks

2026/06/18 CyberSecurityNews — Mozilla がリリースした Firefox 152 は、複数の高深刻度の脆弱性を修正し、リモート・コード実行 (RCE) およびサンドボックス・エスケープ攻撃に対処するものである。2026年6月16日に公開されたセキュリティ・アドバイザリが強調するのは、ブラウザのコア・コンポーネントに影響を及ぼす広範な欠陥であり、ユーザーによる速やかなアップデートの重要性が示されている。

修正された脆弱性の中には、深刻度 High に分類されるものが多々あるが、主としてメモリ安全性の問題/use-after-free/権限昇格の欠陥に関係している。

攻撃者が作成する悪意の Web コンテンツを介して、これらの脆弱性が悪用される可能性があり、影響を受けるシステム上での任意のコード実行につながる恐れがある。

Firefox 152 における複数の脆弱性

注目すべき高リスク脆弱性には、以下が含まれる。

  • CVE-2026-12289:WebRender コンポーネントにおける欠陥であり、攻撃者に権限昇格を許す恐れがある。
  • CVE-2026-12291:HTTP ネットワーキング・コンポーネントにおける use-after-free 脆弱性であり、メモリ破損につながる。
  • CVE-2026-12293:WebGPU コンポーネントにおける use-after-free の問題であり、コード実行を引き起こす可能性がある。
  • CVE-2026-12294 〜 CVE-2026-12297:DOM Workers/Navigation/プロセス・サンドボックス・メカニズムに影響する複数のサンドボックス・エスケープ脆弱性。
  • CVE-2026-12299:DOM および HTML コンポーネントにおける JIT の誤コンパイル・バグであり、予測不能な実行挙動につながる可能性がある。

さらに Mozilla は、メモリ破損などの、複数のメモリ安全性バグ (例:CVE-2026-12290/CVE-2026-12298/CVE-2026-12326/CVE-2026-12328) も報告している。

この種の脆弱性を悪用する攻撃者は、リモートからの任意のコード実行を可能にする。複数のサンドボックス・エスケープの脆弱性が存在するため、攻撃対象領域は大幅に拡大する。

典型的なエクスプロイト・チェーンを実行する攻撃者は、最初にメモリ破損の欠陥を悪用してブラウザ内でコード実行を獲得し、その後に、サンドボックス・エスケープの脆弱性を介してブラウザのセキュリティ境界を突破し、基盤となるシステムを侵害する可能性がある。

たとえば、CVE-2026-12291 (use-after-free) と CVE-2026-12294 (DOM Workers におけるサンドボックス・エスケープ) を組み合わせることで、ブラウザからシステム全体へと到達する恐れがある。

一連の高リスク脆弱性に加えて、Mozilla は Medium〜Low レベルの脆弱性にも対処している。その中には、Cookie 処理に影響する same-origin policy バイパス (CVE-2026-12304) が含まれる。

WebGPU および Password Manager コンポーネントにおける情報漏洩の脆弱性や、DOM セキュリティ・メカニズムにおける複数の緩和策バイパスの脆弱性も修正された。

メディア再生およびグラフィックス・コンポーネントにおけるサービス拒否 (DoS) の問題、各種モジュールにわたる多数のメモリ安全性バグも含まれている。

これらの問題の個別の深刻度は低いが、他の脆弱性と連鎖させることで、攻撃の有効性を高める可能性がある。

アドバイザリ MFSA 2026-57 によると、Mozilla は Firefox 152/Firefox ESR 140.12/Firefox ESR 115.37/Thunderbird 152 で、これらの脆弱性を修正している。

ユーザーにとって必要なことは、Firefox をバージョン 152 以降への速やかなアップデートである。エンタープライズ・ユーザーは、最新の Extended Support Release (ESR) アップデートを適用し、自動更新を有効化し、不審なブラウザ活動や悪用の試みの兆候をシステム上で監視すべきである。

Firefox 152 アップデートは、重大な脆弱性群に対処するものである。それらの脆弱性の多くを連鎖させる攻撃者は、リモート・コード実行やシステム全体の侵害を引き起こす可能性がある。

訳者後書:Firefox 152 のリリースにより、大量の脆弱性が FIX しました。その背景にあるのは、表示処理や通信制御を担う根幹の仕組みにおいて、不要になったデータの破棄手順に隙が生じることや、プログラムの保護区画を跨ぐ設計上の難しさです。それらの脆弱性が連鎖して悪用されると、システム全体への侵入を許してしまう恐れがあります。対応策としては、最新版への更新を速やかに完了させることです。ご利用のチームは、ご注意ください。よろしければ、Firefox での検索結果も、ご参照ください。