記事本文(要約)
Mozillaは、Windowsシステム上で攻撃者がウェブブラウザのサンドボックスをエスケープできる重大なセキュリティ脆弱性を修正するため、Firefox 136.0.4をリリースしました。この脆弱性はCVE-2025-2857として追跡され、「不正なハンドルがサンドボックスエスケープを引き起こす可能性がある」とされています。この脆弱性は、最新のFirefox標準版と、企業による大量導入が必要な場合に向けた拡張サポート版(ESR)に影響を及ぼします。Mozillaは、Firefox 136.0.4およびESR版115.21.1と128.8.1でこの欠陥を修正しました。
CVE-2025-2857に関する技術詳細は公開されていませんが、Googleが最近修正したChromeのゼロデイと類似しているとされています。この脆弱性はWindows上のFirefoxにのみ影響を与え、他のOSには影響しません。また、Mozillaは最近、他のFirefoxのゼロデイ脆弱性(CVE-2024-9680)も修正しており、この欠陥はロシアを拠点とするサイバー犯罪グループによって利用されていました。以前には、Firefoxのゼロデイ脆弱性がPwn2Own Vancouver 2024ハッキングコンペティションで悪用された翌日に修正されました。
※この要約はChatGPTを使用して生成されました。
公開日: Thu, 27 Mar 2025 10:48:40 -0400
Original URL: https://www.bleepingcomputer.com/news/security/mozilla-warns-windows-users-of-critical-firefox-sandbox-escape-flaw/
詳細な技術情報
- CVE番号
- CVE-2025-2857: Firefoxのサンドボックスエスケープの脆弱性。
- 脆弱性の仕組み
- Mozilla FirefoxのIPC(Inter-Process Communication)コードの問題に起因しています。特に、「不正なハンドル」が原因で、サンドボックスをエスケープする可能性があります。親プロセスが混乱させられ、適切に制限されていない子プロセスにハンドルが漏れることが原因で、サンドボックスを脱出できます。
- 攻撃手法
- 攻撃者は、FirefoxのIPCコードを悪用し、親プロセスから子プロセスに対して必要以上の権限を与えることによって、サンドボックスの外で任意のコードを実行します。
- 同様の脆弱性(CVE-2025-2783)はChromeでも発見されており、こちらはOperation ForumTrollというサイバーエスピオナージキャンペーンで悪用されました。これはロシアの政府組織やメディアを標的としたもので、標的は科学フォーラムの招待メールを装ったフィッシングメールを通じて攻撃されました。
- 潜在的な影響
- この脆弱性が悪用されると、攻撃者はWindows上のFirefoxにおいてサンドボックスをエスケープし、システム上で任意のコードを実行することが可能になります。これにより、マルウェアのインストールや情報漏洩、不正活動の実行が考えられます。
- 推奨される対策
- 1. ソフトウェアアップデート: Mozillaがリリースした修正プログラムを適用することが最も重要です。具体的には、Firefox 136.0.4、Firefox ESR 115.21.1、128.8.1への更新が必要です。
- 2. サンドボックスセキュリティの強化: 開発側はサンドボックスのセキュリティポリシーを見直し、IPCなどのプロセス間通信のセキュリティをさらに強化する必要があります。
- 3. セキュリティ意識向上: ユーザーや組織はフィッシング攻撃に対する警戒を強化し、不審なリンクやメールを開かないよう教育することが重要です。
- 4. その他の保護措置: アンチウイルスソフトウェアの導入やセキュリティ監視システムによる異常検知を行うことで、攻撃が発生しても迅速に対応できる体制を整えることが推奨されます。
