Mozillaは3月5日(現地時間)、Firefoxブラウザの最新版「Firefox 97.0.2」をリリースしました(英語版リリースノート)。定例外のアップデートで、影響度が「Critical」に分類されている、2つの重要なセキュリティ脆弱性が修正されています。
Mozilla Firefox 97.0.2に含まれる2つのゼロデイバグの修正に関しては、Mozilla Foundation Security Advisory 2022-09で説明されており、どちらも欠陥を悪用した攻撃が確認されているとのこと。Advisoryには技術的な詳細が含まれていませんが、これはMozillaが攻撃者に脆弱性の具体的な悪用方法を知らせたくないためだと思われます。
2つの脆弱性は以下の通りです。
- CVE-2022-26485(XSLTパラメータ処理におけるUse-after-free)。このバグは、リモートコード実行(RCE)のために悪用される。コンピュータ上で既存の特権やアカウントを持たない攻撃者が、無害に見えるがマルウェアが混入したウェブサイトに無防備なユーザーを誘い込むだけで、犠牲者のコンピュータ上で好きなマルウェアコードを実行できる可能性がある。
- CVE-2022-26486(WebGPU IPCフレームワークのUse-after-free): このバグは、「サンドボックス・エスケープ」の一部である。この種のセキュリティ上の欠陥は、単独で悪用されることもあれば(攻撃者は、本来触れないはずのファイルにアクセスできるようになる)、RCEバグと組み合わせて、シードしたマルウェアがブラウザによって展開されたセキュリティ境界から逃れることを可能にすることもある。
2つのセキュリティ脆弱性は「Use-after-free」バグとして分類されています。Use-After-Free脆弱性は、開放したはずのメモリ領域に、再びアクセスできてしまうというもので、データが破壊されたり、任意のコードが実行可能になるなどの問題が発生します。
Firefoxユーザーは「ヘルプ > Firefoxについて」から最新版に更新することが可能です。