AIセキュリティ企業のAISLEは最近、Firefoxウェブブラウザで深刻な脆弱性を発見しました。この脆弱性は6か月間見過ごされていました。この欠陥により、攻撃者がユーザーのコンピューター上で自分の命令を実行できる可能性があり、1億8000万人以上のユーザーが危険にさらされていました。
原因:わずかなコーディングミス
この脆弱性はCVE-2025-13016として追跡されており、Firefoxのエンジンの重要な部分、WebAssembly(Wasm)を処理する箇所に存在した微妙なコーディングミスでした。WebAssemblyは、主にゲームや複雑なウェブアプリケーションで使われる、ブラウザ内で非常に高速に動作するコードの一種です。
AISLEによると、問題はスタックバッファオーバーフローで、ガーベジコレクション(GC)と呼ばれるメモリ機能内にありました。ちなみに、GCは未使用のコンピュータメモリを自動的に解放する仕組みです。
エラーは、メモリポインタ(アドレスタグのようなもの)に関する1行の誤った計算でした。これにより、一時的な領域に過剰なデータが書き込まれ、他のメモリが破損する可能性がありました。
さらに調査したところ、2つの具体的な問題が明らかになりました。1つ目は、意図した2倍のデータをコピーするよう指示されていたためオーバーフローが発生し、2つ目は、間違ったメモリ位置からコピーを開始し、本来の内容ではなく管理データを取得していたことです。この種のメモリ破損は非常に危険で、適切な手法を使えば攻撃者がプログラムの通常の流れを乗っ取り、任意のコードを実行できる可能性があります。
この脆弱なコードは2025年4月7日に導入され、Firefox 143から初期の145、およびESRバージョン140.5以前を含む複数のバージョンに存在していました。なお、このコードパス用に設計されたテストでさえ、この問題を検出できませんでした。
迅速な発見と修正
AISLEのブログ記事によると、この脆弱性は2025年10月2日に発見されました。同社の研究者イゴール・モルゲンシュテルンは、直ちにMozillaのセキュリティチームに問題を報告しました。Mozillaの対応は迅速で、2025年10月14日に問題を確認しました。MozillaのYury Delendikが修正を開発し、翌日には変更が適用されました。この迅速な対応により、2025年11月11日に一般向けのパッチがリリースされました。
この脆弱性は高リスク(CVSSスコア7.5)と評価されました。悪用するには、攻撃者がユーザーに悪意のあるウェブページを非常に特定のタイミング(例えばブラウザが高いメモリ負荷にある時)で訪問させる必要があります。
この脆弱性はWindows、macOS、Linux、Androidを含むすべてのプラットフォームに影響しましたが、Firefox ESR 115や143以前のすべてのバージョンなどの古いバージョンは影響を受けませんでした。
幸いにも、修正は現在Firefox 145およびFirefox ESR 140.5以降で利用可能です。主要なLinuxディストリビューション(Ubuntu、Debian、Fedoraなど)は迅速にこのアップデートを取り入れ、Arch Linuxはリリースから24時間以内に更新されました。ユーザーは、保護を確実にするため、必ずFirefoxブラウザを最新バージョンにアップデートすることが強く推奨されます。
Mozilla Foundationによるこの件のセキュリティアドバイザリはこちらからご覧いただけます。
翻訳元: https://hackread.com/update-firefox-patch-cve-2025-13016-vulnerability/
