米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)は9月27日(米国時間)、「Mozilla Releases Security Advisories for Thunderbird and Firefox|CISA」において、Mozilla FirefoxおよびThunderbirdに複数の脆弱性が存在すると伝えた。これら脆弱性を悪用されると、攻撃者によって影響を受けたシステムの制御権が乗っ取られる危険性がある。

脆弱性に関する情報は次のページにまとまっている。

  • Security Vulnerabilities fixed in Firefox 118 — Mozilla

    Security Vulnerabilities fixed in Firefox 118 — Mozilla

脆弱性が存在するとされるプロダクトおよびバージョンは次のとおり。

  • Mozilla Firefox version 118よりも前のバージョン
  • Mozilla Firefox ESR version 115.3よりも前のバージョン
  • Mozilla Thunderbird version 115.3よりも前のバージョン

脆弱性が修正されたプロダクトおよびバージョンは次のとおり。

  • Mozilla Firefox version 118
  • Mozilla Firefox ESR version 115.3
  • Mozilla Thunderbird version 115.3

修正対象となった脆弱性のうち、特に深刻度が高いものは次のとおり。

【Mozilla Firefox version 118】

  • [重要]CVE-2023-5168: FilterNodeD2D1における境界外書き込みの脆弱性
  • [重要]CVE-2023-5169: PathOpsにおける境界外書き込みの脆弱性
  • [重要]CVE-2023-5170: 特権プロセスからのメモリリークの脆弱性
  • [重要]CVE-2023-5171: Ionコンパイラに関する脆弱性
  • [重要]CVE-2023-5172: Ion Hintsにおけるメモリ破損の脆弱性
  • [重要]CVE-2023-5176: Firefox 118、Firefox ESR 115.3、Thunderbird 115.3におけるメモリ安全性に関わる脆弱性

【Mozilla Firefox ESR version 115.3】

  • [重要]CVE-2023-5168: FilterNodeD2D1における境界外書き込みの脆弱性
  • [重要]CVE-2023-5169: PathOpsにおける境界外書き込みの脆弱性
  • [重要]CVE-2023-5170: 特権プロセスからのメモリリークの脆弱性
  • [重要]CVE-2023-5171: Ionコンパイラに関する脆弱性
  • [重要]CVE-2023-5176: Firefox 118、Firefox ESR 115.3、Thunderbird 115.3におけるメモリ安全性に関わる脆弱性

【Mozilla Thunderbird version 115.3】

  • [重要]CVE-2023-5168: FilterNodeD2D1における境界外書き込みの脆弱性
  • [重要]CVE-2023-5169: PathOpsにおける境界外書き込みの脆弱性
  • [重要]CVE-2023-5170: 特権プロセスからのメモリリークの脆弱性
  • [重要]CVE-2023-5171: Ionコンパイラに関する脆弱性
  • [重要]CVE-2023-5176: Firefox 118、Firefox ESR 115.3、Thunderbird 115.3におけるメモリ安全性に関わる脆弱性

FirefoxとThunderbirdに深刻度が重要の脆弱性が存在しており注意が必要。CISAは、上記のセキュリティ情報をチェックするとともに、必要に応じてアップデートを適用することを推奨している。

Firefoxはメニューから「Firefox について」を選択することでバージョンを確認することができる。アップデート可能なバージョンが存在する場合はその旨が表示されるので、指示に従ってFirefoxを再起動することでバージョンアップが適用される。

Thunderbirdはメニューから「About Thunderbird」を選択することでバージョンを確認することができる。アップデート可能なバージョンが存在する場合はその旨が表示されるので、指示に従ってThunderbirdを再起動することでバージョンアップが適用される。