米コンピュータ緊急事態対策チーム(US-CERT: United States Computer Emergency Readiness Team)は4月20日(米国時間)、「Mozilla Releases Security Update for Firefox, Firefox ESR, and Thunderbird|CISA」において、WebブラウザのFirefoxおよびFirefox ESRと、メールソフトのThunderbirdに脆弱性が発見され、Mozillaが修正版のセキュリティアップデートをリリースしたと伝えた。これら脆弱性を悪用されると、悪意のある第三者によって範囲外のメモリ書き込みや任意のコードの実行、なりすまし攻撃などが行われる危険性がある。

今回セキュリティアップデートがリリースされたプロダクトとそのバージョンは以下の通り。

  • Firefox 88
  • Firefox ESR 78.10
  • Thunderbird 78.10
  • Firefox 88 macOS版

    Firefox 88 macOS版

脆弱性の詳細はそれぞれ次のページにまとめられている。

  • Security Vulnerabilities fixed in Firefox 88

    Security Vulnerabilities fixed in Firefox 88

今回修正された脆弱性のうち、影響度が「high(高)」に指定されているものは以下の4つで、それ以外に影響度「moderate(中)」「low(低)」のものが多数含まれている。

  • CVE-2021-23994: WebGLにおける範囲外のメモリ書き込み
  • CVE-2021-23995:レスポンシブデザインモードでの解放後のメモリ使用(Use After Free)
  • CVE-2021-23996:3D CSSをJavaScriptと組み合わせることで、コンテンツがWebページのビューポートの外部でレンダリングされる問題
  • CVE-2021-23997:フォントキャッシュの操作における解放後のメモリ使用

CVE-2021-23994とCVE-2021-23995はFirefox、Firefox ESR、Thunderbirdのいずれの製品にも影響し、CVE-2021-23996とCVE-2021-23997はFirefoxのみが影響を受ける問題だという。