米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)はこのほど、「Mozilla Releases Security Updates for Multiple Products | CISA」において、Mozilla FirefoxおよびThunderbirdに緊急(Critical)の脆弱性が存在するとして、注意を呼び掛けた。

この脆弱性はすでに悪用が確認されており、脆弱性を悪用されるとシステムの制御権が乗っ取られる危険性がある。脆弱性に関する情報は次のページにまとまっている。

  • Security Vulnerability fixed in Firefox 117.0.1、Firefox ESR 115.2.1、Firefox ESR 102.15.1、Thunderbird 102.15.1、and Thunderbird 115.2.2 - Mozilla

    Security Vulnerability fixed in Firefox 117.0.1, Firefox ESR 115.2.1, Firefox ESR 102.15.1, Thunderbird 102.15.1, and Thunderbird 115.2.2 - Mozilla

脆弱性が存在するとされるプロダクトおよびバージョンは次のとおり。

  • Firefox 117.0.1よりも前のバージョン
  • Firefox ESR 102.15.1よりも前のバージョン
  • Firefox ESR 115.2.1よりも前のバージョン
  • Thunderbird 102.15.1よりも前のバージョン
  • Thunderbird 115.2.2よりも前のバージョン

脆弱性が修正されたプロダクトおよびバージョンは次のとおり。

  • Firefox 117.0.1
  • Firefox ESR 102.15.1
  • Firefox ESR 115.2.1
  • Thunderbird 102.15.1
  • Thunderbird 115.2.2

修正対象となった脆弱性は次のとおり。

  • [緊急]CVE-2023-4863: libwebpにヒープバッファオーバーフローの脆弱性

深刻度が「緊急(Critical)」の脆弱性のため注意が必要。CISAは、上記のセキュリティ情報をチェックするとともに、必要なアップデートを適用することを推奨している。

Firefoxはメニューから「Firefox について」を選択することでバージョンを確認することができる。アップデート可能なバージョンが存在する場合はその旨が表示されるので、指示に従ってFirefoxを再起動することでバージョンアップが適用される。

Thunderbirdはメニューから「Thunderbird について」を選択することでバージョンを確認することができる。アップデート可能なバージョンが存在する場合はその旨が表示されるので、指示に従ってThunderbirdを再起動することでバージョンアップが適用される。