米コンピュータ緊急事態対策チーム(US-CERT: United States Computer Emergency Readiness Team)は7月13日(米国時間)、「Mozilla Releases Security Updates for Firefox, Thunderbird|CISA」において、Webブラウザ「Firefox」およびメールクライアント「Thunderbird」に複数の脆弱性が報告され、開発元のMozilla Foundationがセキュリティアップデートをリリースしたと伝えた。これらの脆弱性を悪用されると、攻撃者によってアプリケーションのクラッシュやWebサイトに対する不正なアクセス許可の取得などが行われるおそれがある。
今回アップデートが提供されたのは、以下の3つのプロダクト。
- Firefox 90
- Firefox ESR 78.12
- Thunderbird 78.12
それぞれの製品で修正された脆弱性の内容は次のページで確認できる。
- Security Vulnerabilities fixed in Firefox 90 — Mozilla
- Security Vulnerabilities fixed in Firefox ESR 78.12 — Mozilla
- Security Vulnerabilities fixed in Thunderbird 78.12 — Mozilla
Firefox 90では全部で9件の脆弱性が修正されている。そのうち、重要度が「高(high)」に分類されているものは以下のとおり。
- CVE-2021-29970: ドキュメントのアクセシビリティ機能における解放後のメモリ使用(Use After Free)
- CVE-2021-29971: アクセス許可が付与されたWebページと同じホストで実行されているすべてのWebページに、スキームやポートに関係なくアクセス許可が付与される
- CVE-2021-30547: ANGLEにおける範囲外のメモリ書き込み
- CVE-2021-29976: Firefox 90およびFirefox ESR 78.12におけるメモリ安全性のバグ
- CVE-2021-29977: Firefox 90におけるメモリ安全性のバグ
Firefox ESR 78.12では次の3件の脆弱性が修正されている。いずれもFirefox 90の脆弱性と同様で、重要度は「高(high)」に分類されている。
- CVE-2021-29970: ドキュメントのアクセシビリティ機能における解放後のメモリ使用(Use After Free)
- CVE-2021-30547: ANGLEにおける範囲外のメモリ書き込み
- CVE-2021-29976: Firefox 90およびFirefox ESR 78.12におけるメモリ安全性のバグ
Thunderbird 78.12では次の4件の脆弱性が修正されている。いずれも重要度は「高(high)」に分類されており、CVE-2021-29970とCVE-2021-30547はFirefoxと同様のもの。
- CVE-2021-29969: IMAP接続において、STARTTLSハンドシェイクの前にMITMによって送信されたIMAPサーバのレスポンスを処理できてしまう
- CVE-2021-29970: ドキュメントのアクセシビリティ機能における解放後のメモリ使用(Use After Free)
- CVE-2021-30547: ANGLEにおける範囲外のメモリ書き込み
- CVE-2021-29976: Thunderbird 78.12におけるメモリ安全性のバグ
-
Firefox 90.0 (64ビット)
「シングルマルチモニター」でプログラマーやデザイナーも作業効率倍増!5Kウルトラワイドモニターの活用術
