セキュリティ

SECURITY

公開：2025-04-16

【CVE-2025-3028】MozillaのFirefoxとThunderbirdにuse-after-free脆弱性、複数バージョンのアップデートが必要に

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• FirefoxとThunderbirdに深刻な脆弱性が発見
• XSLTProcessor処理時にuse-after-freeの脆弱性
• 複数バージョンに影響、アップデートが必要

MozillaのFirefoxとThunderbirdにuse-after-free脆弱性

Mozillaは2025年4月1日、FirefoxとThunderbirdの複数バージョンにおいて、XSLTProcessor処理時にuse-after-freeの脆弱性が発見されたことを公表した。この脆弱性は【CVE-2025-3028】として識別されており、Firefox 137未満、Firefox ESR 115.22未満、Firefox ESR 128.9未満、Thunderbird 137未満、Thunderbird 128.9未満のバージョンに影響を与えることが判明している。^[1]

本脆弱性はGoogle Project ZeroのIvan Fratricによって発見され、JavaScriptコードを実行しながらXSLTProcessorでドキュメントを変換する際に発生する可能性がある。CVSSスコアは6.5（深刻度：中）と評価されており、ネットワークを介した攻撃が可能で、攻撃の複雑さは低いとされている。

MozillaはセキュリティアドバイザリMFSA2025-20からMFSA2025-24を通じて、この脆弱性に関する詳細な情報と対策を公開している。影響を受けるバージョンのユーザーは、速やかに最新バージョンへのアップデートを実施することが推奨される。

Firefox・Thunderbirdの脆弱性詳細

Use After Freeについて

Use After Freeとは、メモリ上で解放済みの領域にアクセスしようとする脆弱性のことを指す。主な特徴として以下のような点が挙げられる。

• 解放済みのメモリ領域を参照することによって発生する脆弱性
• 任意のコード実行やプログラムのクラッシュを引き起こす可能性
• ヒープメモリの管理に関連する深刻な問題

今回のFirefoxとThunderbirdの脆弱性では、XSLTProcessorによるドキュメント変換時にJavaScriptコードが実行されることでuse-after-freeが発生する可能性がある。この種の脆弱性は攻撃者による任意のコード実行につながる可能性があり、早急な対応が求められる。

Firefox・Thunderbirdの脆弱性に関する考察

XSLTProcessor処理時の脆弱性は、Webブラウザのセキュリティにおいて重要な課題となっている。特にJavaScriptコードの実行を伴うケースでは、メモリ管理の厳密な制御が必要であり、今回の脆弱性はその重要性を改めて示している。

今後の課題として、XMLドキュメント処理時のメモリ管理の更なる強化が求められる。特にJavaScriptエンジンとの連携部分では、より厳密なメモリアクセス制御の実装やバッファ管理の改善が必要となるだろう。

Mozillaには、オープンソースブラウザのセキュリティ向上に向けた取り組みの継続が期待される。特にメモリ安全性に関する問題は、今後も重点的な対応が必要となる分野であり、コードレビューや脆弱性報告プログラムの更なる充実が求められる。

参考サイト

1. ^ CVE. 「CVE: Common Vulnerabilities and Exposures」. https://www.cve.org/CVERecord?id=CVE-2025-3028, (参照 25-04-16).
1846
2. Google. https://blog.google/intl/ja-jp/

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧