Mozillaは2026年2月16日、libvpxビデオコーデックライブラリの高度な重大度のヒープバッファオーバーフロー脆弱性を修正したFirefoxの緊急セキュリティアップデートをリリースしました。
CVE-2026-2447として追跡されるこの欠陥は、VP8およびVP9形式のビデオ処理に影響を与え、Firefoxはデスクトップおよびモバイルプラットフォーム全体で広範に使用しています。
ヒープバッファオーバーフローは、ソフトウェアが割り当てられたメモリバッファの末尾を超えてデータをヒープ(プログラムが実行時に使用する動的メモリ領域)に書き込む場合に発生します。
攻撃者は、サイズの大きい、または不正な形式のビデオデータを送信して隣接するメモリを上書きすることでこれを悪用できます。
これにより、ユーザーの操作なしに、任意のコード実行、ブラウザクラッシュ、または悪質なサイトの訪問やまでもなくシステム全体の危�害を引き起こすことがあります。
リモートハッカーは作成されたウェブページを通じてこれを利用でき、エクスプロイトペイロードを埋め込み、一見無害に見えるメディアストリームに埋め込むことができます。
Mozillaは、CVE-2026-2447をMFSA 2026-10勧告で高影響度として評価し、Windows、macOS、およびLinuxの数百万人のユーザーへのリスクを強調しています。
野生でのこれまでのところ広範なエクスプロイトは見られていませんが、脆弱性のリモートトリガー容易性は、ドライブバイ攻撃の主要なターゲットになっています。
ユーザーはFirefoxの[ヘルプ] > [Firefoxについて]メニューから直ちにアップデートを行う必要があります。このメニューは自動的にパッチをチェックして適用します。
代替として、Mozillaのサイトから新しいインストーラをダウンロードできます。ESRブランチを管理するエンタープライズは、露出を避けるためにデプロイメントを優先する必要があります。
このリリースは、マルチメディア集約的なブラウジングにおけるlibvpxの役割と、警戒的なパッチの必要性を強調しています。
同様のオーバーフローは、メディアプレーヤーを対象とする過去のキャンペーンなど、過去のキャンペーンを促進してきました。自動更新を有効にし、CISAアラートを監視することで先手を打ちましょう。
翻訳元: https://cyberpress.org/mozilla-firefox-v147-0-3-released/
