Firefox

Mozillaは、現在攻撃で悪用されているuse-after-freeの重大な脆弱性に対処するため、Firefoxブラウザの緊急セキュリティアップデートを発表した。

CVE-2024-9680として追跡され、ESETの研究者Damien Schaefferによって発見されたこの脆弱性は、アニメーションのタイムラインにおけるuse-after-freeです。

このタイプの欠陥は、解放されたメモリがプログラムによってまだ使用されている場合に発生し、悪意のある行為者がメモリ領域に独自の悪意のあるデータを追加してコードを実行することを可能にします。

Firefox の Web Animations API の一部である Animation timelines は、Web ページ上のアニメーションを制御および同期するメカニズムです。

「攻撃者は、アニメーション・タイムラインのuse-after-freeを悪用することで、コンテンツ・プロセスでコードを実行することができました

“我々は、この脆弱性が悪用されているという報告を受けている。”

この脆弱性は、最新のFirefox(標準リリース)と拡張サポートリリース(ESR)に影響する。

修正プログラムは以下のバージョンで提供されており、ユーザーは直ちにアップグレードすることが推奨される:

  • Firefox 131.0.2
  • Firefox ESR 115.16.1
  • Firefox ESR 128.3.1

CVE-2024-9680の悪用状況が活発であり、どのように標的が設定されているかについての情報がないことから、最新バージョンへのアップグレードが不可欠です。

最新バージョンへのアップグレードは、Firefoxを起動し、「設定」→「ヘルプ」→「Firefoxについて」を選択すると、自動的にアップデートが開始されます。アップデートを適用するには、プログラムの再起動が必要です。

Updating Firefox
Firefox のアップデート
ソースは こちら:

はMozillaとESETの両社に連絡を取り、この脆弱性の詳細、どのように悪用されているのか、そして誰に対して悪用されているのかについて聞いている。

2024年を通して、これまでMozillaがFirefoxのゼロデイ脆弱性を修正したのは1度だけだった。

3月22日、MozillaはCVE-2024-29943とCVE-2024-29944に対応するセキュリティ・アップデートをリリースした。CVE-2024-29943は、Manfred PaulがPwn2Own Vancouver 2024のハッキング・コンペティションで発見し、実証したクリティカル・セキュリティー問題である。