Mozillaは2026年6月16日にFirefox 152をリリースし、リモートコード実行、サンドボックスエスケープ、権限昇格を引き起こす可能性のある深刻な欠陥を含む、計40件のセキュリティ脆弱性を修正しました。これらの脆弱性は数百万人のユーザーに影響を及ぼす可能性があります。
今回のリリースで最も深刻な脆弱性は、ブラウザのコアコンポーネント全体にわたるメモリ破壊およびuse-after-free(解放済みメモリ使用)の問題です。
Zijie Zhaoが報告したCVE-2026-12291は、Networking: HTTPコンポーネントにuse-after-freeの欠陥を露呈させており、superheが報告したCVE-2026-12293は、同様のメモリ管理の不備によってGraphics: WebGPUコンポーネントに影響を及ぼします。
いずれも高深刻度の評価が付与されており、ブラウザの使用中に解放済みメモリ領域を悪用することで、攻撃者が任意のコードを実行できる可能性があります。
choeseyeongが発見したCVE-2026-12289は、Graphics: WebRenderコンポーネントを標的とした権限昇格の経路を持ち、低権限の攻撃者がシステムへの昇格されたアクセス権を取得できる可能性があります。
また、CVE-2026-12292はWeb Audioコンポーネントにおける不正な境界条件を示しており、この種の脆弱性は境界外メモリアクセスを引き起こすために悪用されることがよくあります。
高深刻度のサンドボックスエスケープ脆弱性が4件確認されており、Firefoxのコアとなる隔離モデルを損なうことから、特に危険なものとして注目されています。
CVE-2026-12294とCVE-2026-12295は、それぞれDOM: WorkersコンポーネントおよびDOM: Navigationコンポーネントに影響するもので、いずれもQuy PhamとYaqoub Aldurayhimによって報告されました。
同じくAldurayhimが報告したCVE-2026-12296は、Security: Process Sandboxingコンポーネントを直接標的としています。研究者「zx」が報告したCVE-2026-12297は、Networkingコンポーネントの不正な境界条件を悪用してサンドボックスを完全に脱出するものです。
これらの欠陥のいずれかが悪用されると、悪意のあるWebコンテンツがブラウザのサンドボックス環境を脱出し、基盤となるオペレーティングシステムと直接やり取りできるようになる可能性があります。
CVE-2026-12326とCVE-2026-12328は、Mozillaのファジングチームと外部研究者が発見した、複数のメモリ安全性バグの集合体を表しています。
いずれも高深刻度の評価が付与されており、Mozillaは「これらのバグの一部はメモリ破壊の痕跡が確認されており、十分な労力をかければ任意のコードを実行するために悪用できた可能性がある」と明示しています。
Hyeonjun Ahnが報告したCVE-2026-12299は、DOM: Core & HTMLコンポーネントにJIT誤コンパイルの欠陥をもたらすものであり、この種の攻撃手法はメモリ保護の回避に歴史的に悪用されてきました。
深刻な脆弱性以外にも、Mozillaは中深刻度の脆弱性16件に対応しており、その中にはメモリ安全性バグや、DOM: Securityコンポーネントにおける緩和策バイパス(CVE-2026-12302、CVE-2026-12315、CVE-2026-12316)などが含まれています。
低深刻度の問題としては、パスワードマネージャーの情報漏えい(CVE-2026-12320)、GTKウィジェットコンポーネントのクリックジャッキングの欠陥(CVE-2026-12322)、およびAudio/Video PlaybackコンポーネントのDoS(サービス拒否)(CVE-2026-12319)が挙げられます。
Mozillaのアドバイザリによると、すべてのFirefoxユーザーにFirefox 152への即時アップデートが強く推奨されています。延長サポートリリースを使用しているユーザーは、Firefox ESR 140.12またはFirefox ESR 115.37へのアップグレードが必要です。
エンタープライズ環境でFirefoxを展開している組織は、本アドバイザリで示されたサンドボックスエスケープおよびRCE(リモートコード実行)の可能性を踏まえ、パッチの展開を最優先で進める必要があります。
翻訳元: https://cyberpress.org/critical-firefox-152-vulnerabilities/