記事本文(要約)
Mozillaは、Pwn2Own Berlin 2025で示された2つのFirefoxのゼロデイ脆弱性に対応する緊急セキュリティアップデートをリリースしました。修正は、デスクトップ版とAndroid版のFirefoxおよび2つの延長サポートリリース(ESR)に含まれています。最初の脆弱性(CVE-2025-4918)はJavaScriptエンジンでのアウトオブバウンズの読み取り/書き込み問題で、Palo Alto Networksの研究者によって発見され、$50,000が授与されました。2番目の脆弱性(CVE-2025-4919)は、JavaScriptオブジェクトでのアウトオブバウンズの読み取り/書き込みを可能にし、Manfred Paulが発見し、同じく$50,000を獲得しました。Mozillaはこれらの脆弱性を「重大」と格付けしましたが、いずれのグループもサンドボックスエスケープを行えなかったと述べています。現在のところ、Pwn2Own外での脆弱性の悪用は確認されていませんが、Mozillaはリスクを軽減するため、迅速にセキュリティアップデートを提供しました。Firefoxユーザーは、バージョン138.0.4、ESR 128.10.1またはESR 115.23.1へのアップグレードが推奨されています。
※この要約はChatGPTを使用して生成されました。
公開日: Mon, 19 May 2025 10:10:56 -0400
Original URL: https://www.bleepingcomputer.com/news/security/mozilla-fixes-firefox-zero-days-exploited-at-hacking-contest/
詳細な技術情報
今回の文章では、MozillaがFirefoxのゼロデイ脆弱性に対する緊急のセキュリティアップデートをリリースしたという内容です。以下に、この出来事に関するセキュリティの詳細を説明します。
CVE番号
- CVE-2025-4918
- JavaScriptエンジンにおけるPromiseオブジェクトの解決時のアウトオブバウンズリード/ライトの脆弱性です。
- CVE-2025-4919
- JavaScriptオブジェクトにおいて、配列インデックスサイズの混乱を利用したアウトオブバウンズリード/ライトの脆弱性です。
脆弱性の仕組み
- CVE-2025-4918の仕組み: Promiseオブジェクトの処理時に、JavaScriptエンジンがメモリバッファの境界を超えてデータを読み書きする可能性があります。これにより、メモリ破損や予期しない動作を引き起こす可能性があります。
- CVE-2025-4919の仕組み: 配列のインデックス管理の不備を突いて、対象外のメモリ領域にアクセスすることが可能になります。この過程でメモリを不正に操作できます。
攻撃手法
- 両方の脆弱性とも、JavaScriptを通じて細工されたウェブコンテンツをユーザーに閲覧させることで悪用される可能性があります。このとき、攻撃者は対象ブラウザ上で任意のコードを実行できる可能性があります。
潜在的な影響
- ブラウザ乗っ取り: 攻撃者はリモートでコードを実行し、ブラウザのセッションを乗っ取ることが可能になります。
- 情報漏洩: 読み書き可能なメモリ領域から、感度の高い情報が漏洩する可能性があります。
- サービス拒否(DoS): ブラウザやホストのクラッシュを誘発し、サービスが停止する可能性があります。
推奨される対策
- アップデート: Mozillaが提供する最新のセキュリティアップデートを適用してください。具体的には、バージョン138.0.4、ESR 128.10.1、またはESR 115.23.1への更新が推奨されます。
- ブラウザの設定確認: JavaScriptの処理を制限する等、セキュリティ設定を見直すことも一手です。ただし、これは機能性に影響を与える可能性があるため、慎重に検討する必要があります。
- セキュリティソフトの導入: アンチウイルスや侵入防止システムを導入し、ブラウザの挙動を監視することが、多層防御に寄与します。
