Mozilla、Firefox ESR最新版で5件の脆弱性に対処、PDFやWebAuthn関連にも修正

text: XEXEQ編集部

Firefoxの脆弱性修正に関する記事の要約
Mozilla、Firefox ESR 115.11で5件の脆弱性を修正
Google社員、Firefox ESR 115.10の脆弱性を報告
脆弱性修正を巡る考察
参考サイト

Firefoxの脆弱性修正に関する記事の要約

PDF.jsのフォント処理における任意のJavaScript実行の脆弱性
プライベートブラウジングモードでIndexedDBファイルが適切に削除されない問題
クリックジャッキングによる権限リクエストのバイパスの可能性
PDFへの印刷時に発生する可能性のあるuse-after-freeクラッシュ
Memory safety bugsの修正

Mozilla、Firefox ESR 115.11で5件の脆弱性を修正

Mozilla Foundationは2024年5月14日、Firefox ESRの最新版となるバージョン115.11を公開しており、今回のリリースでは脆弱性5件の修正が行われている。深刻度の内訳は「high」が2件、「moderate」が3件だ。^[1]

「CVE-2024-4367」では、PDF.jsにおけるフォント処理の際の不適切な型チェックにより、任意のJavaScriptコードが実行される可能性があった。また「CVE-2024-4767」は、プライベートブラウジングモードでIndexedDBファイルが適切に削除されない問題で、この設定はデフォルトでは無効化されている。

「CVE-2024-4768」はWebAuthnとポップアップ通知の相互作用におけるバグで、クリックジャッキングによって権限リクエストをバイパスされる可能性が指摘されていた。PDFへの印刷時のuse-after-freeクラッシュ「CVE-2024-4770」、およびメモリ安全性に関する複数の問題「CVE-2024-4777」の修正も含まれる。

Google社員、Firefox ESR 115.10の脆弱性を報告

先月公開されたFirefox ESR 115.10においては、Google Project Zeroのセキュリティ研究者であるIrvan Kurniawan氏が、PDFの印刷機能に関する脆弱性を報告していた。Kurniawan氏によれば、特定のフォントスタイルを使用した際に、潜在的なuse-after-freeクラッシュが発生する可能性があったという。

通常、クラッシュそのものはサービス拒否につながる程度だが、状況によっては任意コード実行に悪用される恐れもある。Mozillaは今回のESR 115.11で対処したほか、類似のケースも含めて包括的な修正を施している。

一方でクロスオリジンでのリソース読み込みに際し、スクリプトかどうかでエラーメッセージが異なる挙動については、当初「low」と評価されていたが、最終的に「moderate」にレーティングが引き上げられた。セキュリティ上のインパクトについての見解は、各ベンダー内でも意見が分かれることがあるようだ。

脆弱性修正を巡る考察

ウェブブラウザは、現代の情報システムを支える重要なインフラストラクチャの一つだ。特にFirefoxはオープンソースプロジェクトとして、セキュリティの透明性と追跡可能性を重視する姿勢が評価されてきた。一方で機能の拡張やマイナーリリースを重ねるごとに、新たな脆弱性が発見されるのもまた宿命と言える。脆弱性の修正はソフトウェア開発における永遠の課題であり続けるだろう。

今回の一連の脆弱性は、PDFビューアや印刷機能、WebAuthnといった、ブラウザの周辺機能に由来するものが目立つ。これらは比較的新しい技術の導入や、既存機能との統合によって生じたケースと推察される。ブラウザベンダー各社は、新機能追加時のセキュリティ設計や、レガシーコードの定期的な見直しを強化していく必要があるのかもしれない。また、プライベートブラウジングなどのプライバシー保護機能についても、本当に設計通りに動作しているのかを検証するテストを自動化するなどの取り組みが有効だろう。

今後は悪意あるPDFファイルやWebAuthnを悪用したフィッシング攻撃など、修正された脆弱性を突くような新手の手口が出現する可能性がある。ユーザー企業としても、ブラウザのバージョン管理を適切に行うとともに、セキュリティ監視の目を怠らないことが重要だ。オープンソースコミュニティとベンダー、セキュリティ研究者、そしてユーザーが一体となって、ウェブの健全性を高めていくことが期待される。