悪用されるFirefox

ほぼこもセキュリティニュース By Terilogy Worx

Firefoxは皆さんがよく知っているWebブラウザです。
また脆弱性がFixされました。
高機能なものはバグが多くなってしまうのでしょうか。

こういうものがFixされています。

  • CVE-2022-26485
    XSLTパラメーター処理でのメモリの解放後使用
    処理中にXSLTパラメーターを削除すると、解放後使用が悪用される可能性があります。
    この欠陥を悪用した実際の攻撃の報告があります。
  • CVE-2022-26486
    WebGPUIPCフレームワークでのメモリの解放後使用
    WebGPUIPCフレームワークでの予期しないメッセージにより、解放後使用で悪用可能なサンドボックスエスケープが発生する可能性があります。
    サンドボックスエスケープは、文字通りサンドボックスに収まっているはずのプロセスがその外側に出てきてしまうというものです。
    ホスト環境のメモリを参照したりできてしまう問題です。
    この欠陥を悪用した実際の攻撃の報告があります。

メモリの解放後使用というパターン、目につきます。
こういうのもありましたし、こういうのもありました。
最近のFirefoxは起動時に勝手に更新してくれたりしますが、自分でも最新であることを確認するようにしたいですね。

普段使わないソフトはどうしても古い状態になりやすいです。
使わないソフトは削除するとか、更新された状態であることを確認するとか、そういう運用が必要だと感じます。
最初は面倒に感じるかもしれませんが、そのうちそうでもなくなります。

ちなみに、この記事を書いている時点でのよく使われるブラウザのWindows版の最新バージョンは次の通りです。

  • Chrome
    99.0.4844.51
  • Firefox
    97.0.2

さぁ、確認しましょう。

参考記事(外部リンク):Mozilla Foundation Security Advisory 2022-09
Security Vulnerabilities fixed in Firefox 97.0.2, Firefox ESR 91.6.1,
Firefox for Android 97.3.0, and Focus 97.3.0

www.mozilla.org/en-US/security/advisories/mfsa2022-09/

一緒によく読まれている記事

最新の脅威情報
をお届け

BLOGブログ

情報セキュリティに対する啓蒙のため、
3つのメディアを運用し、
情報発信を行っています。

わたしたちはサイバー領域や
認知領域の未知なる脅威に、
テクノロジーとインテリジェンスで対抗します。

私たちが選ばれる理由

CONTACT リスクマネジメントサービスの
ご相談窓口

コンステラ セキュリティ ジャパンは
最先端のサービスを
お客様のニーズに
カスタマイズして提供し、
効果が出るまで寄り添います。