サイバーニュース.jp

世界のサイバーなニュースを配信

Mozillaが緊急Firefoxアップデートを公開:深刻なコード実行の脆弱性に対応

カテゴリ:

Mozillaが緊急セキュリティアップデートを公開

Mozilla Foundationは、2025年11月11日に、複数のFirefoxバージョンおよびプラットフォームにわたる16のユニークな脆弱性に対処するため、3つの重要なセキュリティアドバイザリを公開しました。このアップデートは、Firefox 145、Firefox ESR 115.30、およびFirefox ESR 140.5を対象としており、世界中の数百万人のユーザーに影響を与える12の「高」インパクトの脆弱性と、追加の14の「中」インパクトの脆弱性が含まれています。

主な脆弱性と影響

最も深刻な脆弱性は、WebGPUグラフィックス処理の脆弱性、JavaScriptエンジンの誤コンパイル、およびグラフィックスコンポーネントにおける競合状態を通じて、リモートコード実行およびサンドボックスエスケープ攻撃を可能にするものです。

Mozillaのインパクト分類によると、「高」インパクトの脆弱性は、攻撃者が通常のブラウジング活動以外のユーザー操作を必要とせずに、任意のコードを実行し、悪意のあるソフトウェアをインストールするために悪用される可能性があります。

特に、CVE-2025-13023およびCVE-2025-13026としてリストされている複数のサンドボックスエスケープ脆弱性は、Firefoxのセキュリティサンドボックス分離メカニズムをバイパスするため、極めて重大な脅威となります。

脆弱性の詳細

脆弱性の状況は、重要なコンポーネントにおける懸念すべきパターンを明らかにしています。WebGPUグラフィックス処理は、5つの個別の境界条件の欠陥が特定され、重大な攻撃対象領域として浮上しています。Qrious SecureのProject KillFuzzを含むセキュリティチームの研究者たちは、特別に細工されたJavaScriptペイロードを介して任意のコード実行につながる可能性のあるJITコンパイルの問題を特定しました。

さらに、DOMコンポーネントに影響を与える複数の同一生成元ポリシーバイパスにより、攻撃者は他のブラウザウィンドウのサイトから機密データにアクセスしたり、正当なウェブプロパティに悪意のあるコードを注入したりする可能性があります。

Firefox ESRバージョンでは、集合的なバグ修正(CVE-2025-13027)を通じて、深刻なメモリ安全性の脆弱性に対処するパッチが適用されました。これらの長期サポートリリースは、拡張されたバージョンの安定性を必要とする企業および組織の展開に利用されており、組織のセキュリティ体制にとって迅速なパッチ適用が不可欠です。

CVE IDと脆弱性タイプ

  • CVE-2025-13012: Firefox ESR 115.30 / 140.5 – 競合状態 (高)
  • CVE-2025-13013: Firefox ESR 115.30 – 緩和策バイパス (中)
  • CVE-2025-13014: Firefox ESR 115.30 – Use-after-free (中)
  • CVE-2025-13015: Firefox ESR 115.30 – スプーフィング問題 (低)
  • CVE-2025-13016: Firefox ESR 140.5 – 不適切な境界条件 (高)
  • CVE-2025-13017: Firefox ESR 140.5 – 同一生成元ポリシーバイパス (中)
  • CVE-2025-13018: Firefox ESR 140.5 – 緩和策バイパス (中)
  • CVE-2025-13019: Firefox ESR 140.5 – 同一生成元ポリシーバイパス (中)
  • CVE-2025-13020: Firefox ESR 140.5 – Use-after-free (中)
  • CVE-2025-13021: Firefox 145 – 不適切な境界条件 (高)
  • CVE-2025-13022: Firefox 145 – 不適切な境界条件 (高)
  • CVE-2025-13023: Firefox 145 – サンドボックスエスケープ (高)
  • CVE-2025-13024: Firefox 145 – JIT誤コンパイル (高)
  • CVE-2025-13025: Firefox 145 – 不適切な境界条件 (高)
  • CVE-2025-13026: Firefox 145 – サンドボックスエスケープ (高)
  • CVE-2025-13027: Firefox 145 – メモリ安全性のバグ (高)

推奨事項

Mozillaは、Firefox 145、Firefox ESR 140.5、またはFirefox ESR 115.30への即時アップデートを推奨しています。ユーザーは、自動更新メカニズムを通じて、またはMozillaの公式ウェブサイトにアクセスしてアップデートを入手できます。

アドバイザリは、これらの脆弱性の悪用には、攻撃者が侵害されたウェブサイトまたはネットワーク攻撃を介して悪意のあるコンテンツを配信する必要があることを明確にしています。しかし、標準的なブラウジング以外のユーザー操作が不要であるため、ユーザーベース全体のリスク露出が大幅に増加します。

元記事: https://gbhackers.com/mozilla-issues-urgent-firefox-update-2/

投稿をさらに読み込む