Mozillaは41のセキュリティ脆弱性に対応するFirefox 150をリリースしました。これには、リモートコード実行につながる可能性のある複数の高度な重大度の欠陥が含まれます。
ユーザーは、これらの重大なメモリ破損およびuse-after-freeバグから保護するために、ブラウザをすぐに更新する必要があります。
重大な脆弱性の詳細
最も危険な欠陥は、DOM(CVE-2026-6746)とWebRTC(CVE-2026-6747)コンポーネントのuse-after-free脆弱性です。
これらは、アプリケーションが解放されたメモリポインタを誤って使用する場合に発生し、攻撃者が任意の悪意あるコードを実行したり、システムをクラッシュさせたりする可能性があります。
セキュリティ研究者は、これらの複雑なメモリ安全性バグのいくつかを発見するために、AnthropicのClaude AIを活用しました。
このアップデートは、高度な重大度のメモリ破損バグから低い影響のサービス妨害脆弱性まで、幅広い問題を解決します。
Firefox 150で対処されたすべての共通脆弱性と公開(CVE)の包括的な内訳は、以下の通りです。Firefox 150で対処されています。
| CVE ID | 脆弱性の説明 | 影響度 |
|---|---|---|
| CVE-2026-6746 | DOM内のuse-after-free: Core & HTMLコンポーネント | 高 |
| CVE-2026-6747 | WebRTCコンポーネント内のuse-after-free | 高 |
| CVE-2026-6748 | オーディオ/ビデオ内の初期化されていないメモリ: Webコーデックコンポーネント | 高 |
| CVE-2026-6749 | グラフィックス内の初期化されていないメモリによる情報開示: Canvas2D | 高 |
| CVE-2026-6750 | グラフィックスの権限昇格: WebRenderコンポーネント | 高 |
| CVE-2026-6751 | オーディオ/ビデオ内の初期化されていないメモリ: Webコーデックコンポーネント | 高 |
| CVE-2026-6752 | WebRTCコンポーネント内の不正な境界条件 | 高 |
| CVE-2026-6753 | WebRTCコンポーネント内の不正な境界条件 | 高 |
| CVE-2026-6754 | JavaScriptエンジンコンポーネント内のuse-after-free | 高 |
| CVE-2026-6755 | DOM内の緩和策のバイパス: postMessageコンポーネント | 中程度 |
| CVE-2026-6756 | Android版Firefoxの緩和策のバイパス | 中程度 |
| CVE-2026-6757 | JavaScriptの無効なポインタ: WebAssemblyコンポーネント | 中程度 |
| CVE-2026-6758 | JavaScript内のuse-after-free: WebAssemblyコンポーネント | 中程度 |
| CVE-2026-6759 | ウィジェット内のuse-after-free: Cocoaコンポーネント | 中程度 |
| CVE-2026-6760 | ネットワーク内の緩和策のバイパス: Cookiesコンポーネント | 中程度 |
| CVE-2026-6761 | ネットワークコンポーネント内の権限昇格 | 中程度 |
| CVE-2026-6762 | DOM内のなりすまし問題: Core & HTMLコンポーネント | 中程度 |
| CVE-2026-6763 | ファイル処理コンポーネント内の緩和策のバイパス | 中程度 |
| CVE-2026-6764 | DOM内の不正な境界条件: デバイスインターフェースコンポーネント | 中程度 |
| CVE-2026-6765 | フォーム自動入力コンポーネント内の情報開示 | 中程度 |
| CVE-2026-6766 | NSSのライブラリコンポーネント内の不正な境界条件 | 中程度 |
| CVE-2026-6767 | NSSのライブラリコンポーネント内のその他の問題 | 中程度 |
| CVE-2026-6768 | ネットワーク内の緩和策のバイパス: Cookiesコンポーネント | 中程度 |
| CVE-2026-6769 | デバッガコンポーネント内の権限昇格 | 中程度 |
| CVE-2026-6770 | ストレージ内のその他の問題: IndexedDBコンポーネント | 中程度 |
| CVE-2026-6771 | DOM内の緩和策のバイパス: セキュリティコンポーネント | 中程度 |
| CVE-2026-6772 | NSSのライブラリコンポーネント内の不正な境界条件 | 中程度 |
| CVE-2026-6773 | グラフィックス内の整数オーバーフローによるサービス妨害: WebGPU | 低 |
| CVE-2026-6774 | DOM内の緩和策のバイパス: セキュリティコンポーネント | 低 |
| CVE-2026-6775 | WebRTCコンポーネント内の不正な境界条件 | 低 |
| CVE-2026-6776 | WebRTC内の不正な境界条件: ネットワークコンポーネント | 低 |
| CVE-2026-6777 | ネットワーク内のその他の問題: DNSコンポーネント | 低 |
| CVE-2026-6778 | オーディオ/ビデオ内の無効なポインタ: 再生コンポーネント | 低 |
| CVE-2026-6779 | JavaScriptエンジンコンポーネント内のその他の問題 | 低 |
| CVE-2026-6780 | オーディオ/ビデオ内のサービス妨害: 再生コンポーネント | 低 |
| CVE-2026-6781 | オーディオ/ビデオ内のサービス妨害: 再生コンポーネント | 低 |
| CVE-2026-6782 | IP保護コンポーネント内の情報開示 | 低 |
| CVE-2026-6783 | オーディオ/ビデオの不正な境界条件/整数オーバーフロー: 再生 | 低 |
| CVE-2026-6784 | Firefox 150およびThunderbird 150で修正されたメモリ安全性バグ | 高 |
| CVE-2026-6785 | ESR 115.35、ESR 140.10、およびFirefox 150で修正されたメモリ安全性バグ | 高 |
| CVE-2026-6786 | ESR 140.10およびFirefox 150で修正されたメモリ安全性バグ | 高 |
翻訳元: https://gbhackers.com/mozilla-firefox-150-released/
ソース: gbhackers.com
