米コンピュータ緊急事態対策チーム(US-CERT: United States Computer Emergency Readiness Team)は1月11日、「Mozilla Releases Security Updates for Firefox, Firefox ESR, and Thunderbird |CISA」において、MozillaがFirefox 96、Firefox ESR 91.5、およびThunderbird 91.5をリリースしたと伝えた。
このリリースには複数の脆弱性に対する修正が含まれており、アップデートせずに放置すると、ウィンドウのなりすましによる情報窃取やアプリケーションのクラッシュ、iframeサンドボックスのバイパスによるページの改変などといった被害を受ける恐れがある。
修正された脆弱性に関する情報は、それぞれ次のセキュリティアドバイザリにまとめられている。
- Security Vulnerabilities fixed in Firefox 96 — Mozilla
- Security Vulnerabilities fixed in Firefox ESR 91.5 — Mozilla
- Security Vulnerabilities fixed in Thunderbird 91.5 — Mozilla
リストに挙げられている脆弱性のうち、影響度が「high(高)」に分類されているものは次のとおり。
- CVE-2022-22746: Calling into reportValidity could have lead to fullscreen window spoof
- CVE-2022-22743: Browser window spoof using fullscreen mode
- CVE-2022-22742: Out-of-bounds memory access when inserting text in edit mode
- CVE-2022-22741: Browser window spoof using fullscreen mode
- CVE-2022-22740: Use-after-free of ChannelEventQueue::mOwner
- CVE-2022-22738: Heap-buffer-overflow in blendGaussianBlur
- CVE-2022-22737: Race condition when playing audio files
- CVE-2021-4140: Iframe sandbox bypass with XSLT
上記8件の脆弱性は、Firefox、Firefox ESR、Thunderbirdのいずれの製品にも影響する。
Firefoxはメニューから「Firefox について」を選択することでバージョンを確認することができる。アップデート可能なバージョンが存在する場合はその旨が表示されるので、指示に従ってFirefoxを再起動することでバージョンアップが適用される。Thunderbirdもアップデート方法は同じ。