Mozillaがセキュリティ脆弱性41件に対応したFirefox 150をリリースしました。その中には複数の高深刻度の脆弱性が含まれており、リモートコード実行(RCE)が可能になる可能性があります。
このアップデートは、メモリ使用後の解放(use-after-free)や初期化されていないメモリバグなどのメモリ安全性の問題の修正に大きく焦点を当てています。これらはシステムの制御を得るために攻撃者によって一般的に悪用されます。
セキュリティ専門家は、これらの脆弱性の多くが悪意のあるウェブコンテンツを通じてトリガーでき、実際のシナリオで高度に悪用可能であるため、ユーザーに直ちに更新することを強く推奨しています。
最も深刻な問題の中には、2つの高リスクなuse-after-free脆弱性があります:
これらの欠陥は、解放されたメモリが不正にアクセスされた場合に発生し、攻撃者が任意のコードを実行またはブラウザをクラッシュさせることを可能にする可能性があります。
そのようなバグは、ユーザーを悪意のあるウェブページへの訪問に説き伏せることで簡単に悪用される可能性があるため、特に危険です。
他の高深刻度の脆弱性には、Web Codecs、Canvas2D、WebRenderのメモリ破損問題、およびブラウザサンドボックスを脱出することを可能にする権限昇格の欠陥が含まれています。
興味深いことに、Mozillaはセキュリティ研究者がAnthropicのClaudeを含むAIツールを使用してこれらの複雑な脆弱性の特定を支援したことを指摘し、脆弱性研究におけるAIの役割の増加を強調しています。
ユーザーはブラウザの自動更新機能を使用して、またはMozillaの公式サイトから最新バージョンをダウンロードしてFirefox 150に直ちに更新する必要があります。
組織は、特にブラウザが信頼されていないコンテンツに頻繁にさらされる環境での、パッチ展開を優先するよう推奨されています。
このリリースは、メモリ安全性の問題がもたらし続けるリスク、および進化するウェブベースの攻撃に対抗するための迅速なパッチ適用の重要性を強調しています。
翻訳元: https://cyberpress.org/firefox-150-released-with-fixes/
