米コンピュータ緊急事態対策チーム(US-CERT: United States Computer Emergency Readiness Team)は3月7日、「Mozilla Releases Security Updates for Multiple Products」において、Mozillaが提供しているWebブラウザ「Firefox」やメールクライアント「Thunderbird」などに、複数の致命的な脆弱性が報告されていると伝えた。Mozillaによると、これらの脆弱性はいずれも攻撃への悪用が確認されているとのことで、早急に対処する必要がある。
該当する脆弱性に関する情報は、Mozillaによる次のセキュリテイアドバイザにまとめられている。
報告されている脆弱性は次の2件で、いずれも重要度は最も高い「Critical(緊急)」に分類されている。
- CVE-2022-26485: XSLTのパラメーター処理における解放後のメモリ使用(Use After Free)
- CVE-2022-26486: WebGPU IPCフレームワークにおける解放後のメモリ使用
影響を受けるプロダクトは次のとおり。
- Firefox
- Firefox ESR
- Firefox for Android
- Firefox Focus
- Thunderbird
それぞれ次のバージョンにアップデートすることで、脆弱性の影響を回避することができる。アップデートの重要度は「High(高)」とされている。
- Firefox 97.0.2
- Firefox ESR 91.6.1
- Firefox for Android 97.3.0
- Firefox Focus 97.3.0
- Thunderbird 91.6.2
米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)は、Mozillaによるセキュリティアドバイザリを確認した上で必要なアップデートを適用することを推奨している。