Firefox 116 パッチ高
Firefox 116 には、9 件の重大度の高い脆弱性を含む 14 件の CVE に対するパッチがリリースされました。そのうちのいくつかは、リモート コード実行やサンドボックス エスケープにつながる可能性があります。
による
フリップボード
レディット
ピンタレスト
ワッツアップ
ワッツアップ
Eメール
Mozilla は火曜日、複数の重大度の高い脆弱性に対するパッチを含む Firefox 116、Firefox ESR 115.1、および Firefox ESR 102.14 のリリースを発表しました。
ブラウザメーカーはアドバイザリーに合計 14 件の CVE をリストしており、そのうち 9 件は「重大度高」と評価されています。 CVE のうち 3 つは、Firefox のメモリ安全性のバグに言及しています。
CVE-2023-4045 として追跡されている高重大度の欠陥の 1 つ目は、オフスクリーン キャンバスでのクロスオリジン制限のバイパスとして説明されており、クロスオリジン汚染を適切に追跡できませんでした。
この問題により、Web ページに別のサイトのページに表示されている画像が表示される可能性があるとソフォスはアップデートの分析で指摘しています。 ブラウザには、Web サイトで生成された HTML および JavaScript コードが他のサイトのコンテンツにアクセスすることを防ぐ同一生成元ポリシーが含まれています。
Firefox 116 でパッチが適用される 2 番目の高重大度の問題は CVE-2023-4046 で、これは WASM コンパイル中の不正な値の使用として説明されています。
「状況によっては、WASM JIT 分析のグローバル変数に古い値が使用された可能性があります。 その結果、コンパイルが正しく行われず、コンテンツ プロセスが悪用される可能性のあるクラッシュが発生しました」と Mozilla は指摘しています。
ブラウザのアップデートにより、クリックジャッキングによる許可リクエストのバイパスである CVE-2023-4047 も解決されます。 ページはユーザーをだまして、慎重に配置された項目をクリックさせますが、その代わりにユーザーには表示されないセキュリティ ダイアログへのクリックとして入力を登録する可能性があります。
「位置情報へのアクセス、通知の送信、マイクの有効化などの潜在的に危険な権限は、ブラウザ自体からの明確な警告を確認し、それに基づいて行動するまでは付与されるべきではありません」とソフォスは指摘しています。
Firefox 116 が解決する他の 3 つの重大度の高い脆弱性には、CVE-2023-4048 (細工された HTML ファイルを分解するときに DOMParser をクラッシュさせる境界外読み取りの欠陥)、CVE-2023-4049 (悪用される可能性がある競合状態) が含まれます。 use-after-free 脆弱性)、および CVE-2023-4050(StorageManager でのスタック バッファ オーバーフローがサンドボックス エスケープにつながる可能性あり)。
CVE-2023-4056、CVE-2023-4057、および CVE-2023-4058 として追跡されており、Firefox 116 で解決されたメモリ安全性のバグにより、任意のコードが実行される可能性がありました。
Mozillaによると、これらの重大度の高い問題のほとんどはFirefoxの延長サポートとThunderbirdにも影響し、Firefox ESR 115.1、Firefox ESR 102.14、Thunderbird 115.1、Thunderbird 102.14で対処されたという。
Mozilla は、これらの脆弱性が攻撃に悪用されたことについては一切言及していません。
関連している:Firefox 115、重大度の高い Use-After-Free 脆弱性を修正
関連している:Mozilla、Firefox 111のリリースで重大度の高い脆弱性にパッチを適用
関連している:Firefox アップデート パッチ 10 の重大度の高い脆弱性
Ionut Arghire は SecurityWeek の国際特派員です。
SecurityWeek 電子メール ブリーフィングを購読して、業界の専門家による洞察力に富んだコラムとともに、最新の脅威、トレンド、テクノロジーに関する最新情報を入手してください。
セキュリティの専門家と一緒に、サイバー リスクの軽減とビジネスの強化の両方を実現する ZTNA の未開発の可能性について話し合います。
ソフトウェア サプライ チェーンを保護するための新しい戦略を紹介するウェビナーに Microsoft と Finite State にご参加ください。
今、良いこと、悪いこと、醜いことを徹底的に考えることは、私たちに「生き残るためのネガティブな焦点ではなく、繁栄するためのポジティブな焦点」を与えてくれるプロセスです。(マーク・ソロモン)
脅威情報を共有し、他の脅威インテリジェンス グループと協力することは、顧客の保護を強化し、サイバーセキュリティ部門全体の有効性を高めるのに役立ちます。(Derek Manky)