Mozilla は、ベルリンで開催された Pwn2Own ハッキングコンペティションで最近実証された2つの重大なゼロデイ脆弱性に対処するため、Firefox の緊急セキュリティアップデートをリリースしました。これらの脆弱性はすでに実際の攻撃で悪用されており、すべての Firefox ユーザーにとって特に緊急性の高いアップデートとなっています。
重大な脆弱性
CVE-2025-4918 と CVE-2025-4919 として追跡されている2つのセキュリティ欠陥は、どちらも Firefox の JavaScript エンジンにおける重大な境界外アクセスの脆弱性として分類されています。 Palo Alto Networks の Edouard Bochin 氏と Tao Yan 氏によって発見された最初の脆弱性は、攻撃者が JavaScript の Promise オブジェクトに対して境界外の読み取りまたは書き込みを実行することを可能にします。Manfred Paul 氏によって特定された2番目の欠陥は、線形和を最適化する際に同様の境界外アクセスを可能にし、攻撃者が配列インデックスのサイズを混乱させることで JavaScript オブジェクトを操作する可能性があります。
脆弱性の詳細:
- CVE-2025-4918: Firefox の JavaScript エンジンにおける JavaScript Promise オブジェクトに影響を与える境界外アクセスの欠陥
- CVE-2025-4919: 線形和の最適化時に発生する境界外アクセス
- 両脆弱性とも Mozilla によって「Critical(重大)」と評価されている
- 各脆弱性の発見に対して Pwn2Own Berlin で50,000ドルが授与された
現実世界への影響
これらの脆弱性は、ユーザーの操作をほとんど必要としないため、特に懸念されています。攻撃者は、ユーザーを侵害されたウェブサイトに誘導するだけで、悪意のあるコードを実行する可能性があります。両方の欠陥は Pwn2Own ベルリン会議でライブデモンストレーションされ、各研究者はその発見に対して50,000ドルを受け取りました。これらのデモンストレーションが公開されたことで、技術的な詳細が潜在的な攻撃者に利用可能となり、広範囲にわたる悪用のリスクが高まっています。
影響を受けるバージョン
このセキュリティアップデートは、標準の Firefox ブラウザ(138.0.4より前のバージョン)、Firefox 延長サポートリリース(ESR)の128.10.1と115.23.1より前のバージョン、および Android 向け Firefox など、複数の Firefox バージョンの脆弱性に対処しています。 Mozilla は、ハッキングコンペティションでこれらの問題が明らかになった後、迅速に修正に取り組みました。
影響を受ける Firefox のバージョン:
- Firefox 138.0.4 より前のバージョン
- Firefox Extended Support Release (ESR) 128.10.1 より前のバージョン
- Firefox ESR 115.23.1 より前のバージョン
- Firefox for Android
Firefox のセキュリティアーキテクチャにおける希望の光
これらの欠陥の深刻さにもかかわらず、 Mozilla はどちらの脆弱性も Firefox のセキュリティサンドボックスを突破することができなかったと指摘しています。これは、攻撃者がユーザーのデバイスを完全に制御するために突破する必要がある重要なセキュリティ境界です。これは、以前の Pwn2Own コンペティションで Firefox のサンドボックスが正常に侵害された状況からの改善を示しています。
アップデート方法
ユーザーは直ちに Firefox ブラウザをアップデートすることを強く推奨します。アップデートは、Windows では Firefox メニューから「ヘルプ」を選択し、次に「Firefox について」を選択するか、macOS では Firefox メニューから直接「Firefox について」を選択することでアクセスできます。ブラウザは自動的にアップデートを確認し、インストール後に再起動を促します。
ブラウザセキュリティの広範な文脈
この Firefox アップデートは、主要なブラウザ開発者による一連の緊急パッチの中で行われています。 Apple は最近、悪用された2つの脆弱性に対処し、 Google は Chrome に対する重大なパッチを発行しました。これには、アカウントの完全な乗っ取りを可能にする高度な重大性の欠陥(CVE-2025-4664)も含まれています。米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は、この Chrome の脆弱性が攻撃で積極的に悪用されていることを確認しました。
迅速なアップデートの重要性
ブラウザベースの攻撃がますます高度化する中、ソフトウェアを最新の状態に保つことがこれまで以上に重要になっています。これらのゼロデイ脆弱性は、セキュリティ研究者と悪意のある行為者の間で続く追いかけっこを浮き彫りにしています。セキュリティアップデートを迅速にインストールすることで、ユーザーはこれらの攻撃の被害に遭うリスクを大幅に減らすことができます。