悪用されるFirefox
Firefoxは皆さんがよく知っているWebブラウザです。
また脆弱性がFixされました。
高機能なものはバグが多くなってしまうのでしょうか。
こういうものがFixされています。
- CVE-2022-26485
XSLTパラメーター処理でのメモリの解放後使用
処理中にXSLTパラメーターを削除すると、解放後使用が悪用される可能性があります。
この欠陥を悪用した実際の攻撃の報告があります。 - CVE-2022-26486
WebGPUIPCフレームワークでのメモリの解放後使用
WebGPUIPCフレームワークでの予期しないメッセージにより、解放後使用で悪用可能なサンドボックスエスケープが発生する可能性があります。
サンドボックスエスケープは、文字通りサンドボックスに収まっているはずのプロセスがその外側に出てきてしまうというものです。
ホスト環境のメモリを参照したりできてしまう問題です。
この欠陥を悪用した実際の攻撃の報告があります。
メモリの解放後使用というパターン、目につきます。
こういうのもありましたし、こういうのもありました。
最近のFirefoxは起動時に勝手に更新してくれたりしますが、自分でも最新であることを確認するようにしたいですね。
普段使わないソフトはどうしても古い状態になりやすいです。
使わないソフトは削除するとか、更新された状態であることを確認するとか、そういう運用が必要だと感じます。
最初は面倒に感じるかもしれませんが、そのうちそうでもなくなります。
ちなみに、この記事を書いている時点でのよく使われるブラウザのWindows版の最新バージョンは次の通りです。
- Chrome
99.0.4844.51 - Firefox
97.0.2
さぁ、確認しましょう。
参考記事(外部リンク):Mozilla Foundation Security Advisory 2022-09
Security Vulnerabilities fixed in Firefox 97.0.2, Firefox ESR 91.6.1,
Firefox for Android 97.3.0, and Focus 97.3.0
www.mozilla.org/en-US/security/advisories/mfsa2022-09/
