CVE-2019-17026脆弱性のパッチを適用したFirefoxのアップデートリリース

Mozilla Firefoxの新しい更新プログラムは、CVE-2019-17026というラベルの付いたゼロデイ脆弱性の修正とともに展開され、実際に悪用されました。この脆弱性により、ブラウザを悪用する攻撃者は、感染したシステムを完全に制御できます。

米国国土安全保障省のサイバーセキュリティおよびインフラストラクチャセキュリティ機関(CISA)が発行した通知は次のとおりです。

「Mozillaは、FirefoxおよびFirefox ESRの脆弱性に対処するセキュリティアップデートをリリースしました。攻撃者はこの脆弱性を悪用して、影響を受けるシステムを制御する可能性があります。この脆弱性は、悪用されたエクスプロイトで検出されました。」

これは実際、この脆弱性がどれほど重大かを示しています。この脆弱性の修正を含むFirefoxのアップデートは、11月のセキュリティ脆弱性を修正した1月7日のメジャーアップデートバージョン72の直後の1月8日にリリースされました。すべてのFirefoxユーザーは、ブラウザに最新の更新プログラム(Firefoxの場合は72.0.1、Firefox ESRの68.4.1)を直ちにパッチする必要があります。

脆弱性が発生する場所から

Mozilla Firefoxは非常に人気があり、Google Chromeに次いで2番目に使用されているブラウザです。最新の統計によると、ビジネスの市場シェアの9.54%を占めています。これが、アップデートが誠実に焦点を当てており、政府ベースの研究所がゼロデイ脆弱性のパッチを備えたFirefoxの最新のアップデートをインストールするようユーザーにアドバイスしていた理由かもしれません。

中国のセキュリティ会社であるQihoo 360は、FirefoxブラウザのこのCVE-2019-17026の欠陥を発見しました。脅威インテリジェンス会社の調査結果は公開されておらず、会社に連絡を取ろうとした者には詳細は明らかにされていません。知られていることですが、プログラムが割り当てまたは初期化するリソースが、そのリソースで最初に使用されたものと一致しない場合に脆弱性が発生します。つまり、プログラムへのアクセスにリモートコードの実行が使用される可能性があります。

Mozillaの勧告で説明されているように、現在知られている唯一のもの:

「配列要素を設定するためのIonMonkey JITコンパイラのエイリアス情報が間違っていると、タイプが混乱する可能性があります。」

ゼロデイ脆弱性は非常に危険です

プログラムのゼロデイ脆弱性は、開発者や情報セキュリティコミュニティの他のメンバーによってまだ発見されておらず、悪意のある攻撃者によって悪用されているバグです。ハッカーはこのようなバグを利用し、制限なしにあらゆるものを悪用できます。最近、パッチが適用された2つのFirefoxの脆弱性がMac OSバージョンのブラウザに影響を与え、ハッカーが暗号通貨交換のバックドアを作成できるようになりました。