米コンピュータ緊急事態対策チーム(US-CERT: United States Computer Emergency Readiness Team)は1月11日、「Mozilla Releases Security Updates for Firefox, Firefox ESR, and Thunderbird |CISA」において、MozillaがFirefox 96、Firefox ESR 91.5、およびThunderbird 91.5をリリースしたと伝えた。

このリリースには複数の脆弱性に対する修正が含まれており、アップデートせずに放置すると、ウィンドウのなりすましによる情報窃取やアプリケーションのクラッシュ、iframeサンドボックスのバイパスによるページの改変などといった被害を受ける恐れがある。

  • Firefox 96.0

    Firefox 96.0

修正された脆弱性に関する情報は、それぞれ次のセキュリティアドバイザリにまとめられている。

  • Security Vulnerabilities fixed in Firefox 96

    Security Vulnerabilities fixed in Firefox 96

リストに挙げられている脆弱性のうち、影響度が「high(高)」に分類されているものは次のとおり。

  • CVE-2022-22746: Calling into reportValidity could have lead to fullscreen window spoof
  • CVE-2022-22743: Browser window spoof using fullscreen mode
  • CVE-2022-22742: Out-of-bounds memory access when inserting text in edit mode
  • CVE-2022-22741: Browser window spoof using fullscreen mode
  • CVE-2022-22740: Use-after-free of ChannelEventQueue::mOwner
  • CVE-2022-22738: Heap-buffer-overflow in blendGaussianBlur
  • CVE-2022-22737: Race condition when playing audio files
  • CVE-2021-4140: Iframe sandbox bypass with XSLT

上記8件の脆弱性は、Firefox、Firefox ESR、Thunderbirdのいずれの製品にも影響する。

Firefoxはメニューから「Firefox について」を選択することでバージョンを確認することができる。アップデート可能なバージョンが存在する場合はその旨が表示されるので、指示に従ってFirefoxを再起動することでバージョンアップが適用される。Thunderbirdもアップデート方法は同じ。