Home News Articles Blogs Forums Photos
 
 

ブラウザーFirefoxに深刻度「最大(Critical)」のゼロデイ脆弱性、早急にアップデートを

ReplySubscribeNew Topic
進藤ヒカル
進藤ヒカル
Quote2024/10/250 likes
 

ブラウザー「Firefox」深刻度“最高”のゼロデイ脆弱性に対処

Mozillaは10月9日、Webブラウザー「Firefox」において、実際に攻撃に悪用された緊急の脆弱性を修正するアップデートを配信している。アップデートはブラウザー内の自動更新機能を通じて適用できる。

 Mozillaは10月9日、Webブラウザー「Firefox」において、実際に攻撃に悪用された緊急の脆弱性を修正するアップデートを配信している。アップデートはブラウザー内の自動更新機能を通じて適用できる。

 発見された脆弱性「CVE-2024-9680」は、最高レベルの危険度を示すCVSSスコア9.8を記録。ブラウザーのアニメーションタイムライン機能に存在し、攻撃者がリモートからコードを実行できる可能性がある。

 脆弱性は、Torブラウザーのユーザーに対する攻撃に実際に使用されたことが確認されている。Mozillaは脆弱性の報告を受けてから25時間という異例の速さで、Firefox 131.0.2、Firefox ESR 128.3.1、Firefox ESR 115.16.1の各バージョンで修正を実施している。

 Firefoxは、世界中で約2億人以上のユーザーが利用する無料のオープンソースWebブラウザー。非営利組織のMozilla Foundationとその子会社Mozilla Corporationによって開発されている。プライバシー保護と高速な動作を特徴とする。主要なブラウザーの中で唯一、ユーザーの個人データを広告主に販売しない方針を貫いている。

Firefoxに深刻度「最大(Critical)」のゼロデイ脆弱性、早急にアップデートを

セキュリティの脆弱性は、あなたが使っているプログラムが何であれ、残念ながら避けられません。

ソフトウェアが完璧であることはなく、悪意ある行為者がアプリケーションとそのユーザーを悪用することを可能にするかもしれない予期せぬ欠陥が常に存在します。

重要なのは、悪意ある行為者よりも先にそれらの欠陥を見つけ、悪用方法を発見される前にパッチを当てることです。

すでに悪用されている。Firefoxにゼロデイ脆弱性

残念ながら、Firefoxの最新のセキュリティ脆弱性に関しては、それでは遅すぎます。

Firefoxの開発元であるMozillaは10月9日、セキュリティ勧告の中で、同ブラウザに対し、深刻度をもっとも重大の「Critical」としてパッチを当てたと発表しました。

同社によれば、この問題(CVE-2024-9680)は「Animation timeline」における「use-after-free」の欠陥だといいます。

use-after-freeの欠陥は、システムがメモリを解放しても、プログラムがそのメモリにアクセスし続ける場合に発生します。

これは一般的なソフトウェアの問題を引き起こす可能性がある一方で、悪意のある行為者が飛び込む可能性もあります。

この場合、Mozillaはこの欠陥によって攻撃者が「コード実行を達成する」、つまり悪意のあるコードを実行できることを確認しています。

この特定の欠陥が重大な問題であるのは、アクティブなエクスプロイト(攻撃・悪用)を持つゼロデイであるからです。ゼロデイとは、開発者(Mozilla)がパッチを当てる前に発見された欠陥のこと。

すべてのゼロデイが悪用されるわけではありませんが、このゼロデイは悪用されています。 Mozillaによれば、誰が、どの程度悪用しているかは不明ですが、アクティブに悪用されているという報告があるとのことです。

いずれにせよ、すべてのFirefoxユーザーは、自分のブラウザをできるだけ早く最新バージョン131.0.2にアップデートすべきです。

Firefoxをアップデートする方法

パソコンでアプリを開き、「設定」にアクセス

「一般」で「Firefoxアップデート」までスクロールダウン(またはページ上部で「Firefoxアップデート」を検索)

「アップデートを確認」をクリック

利用可能なものがあれば、画面の指示に従ってパッチをインストール

グーグル「Chrome」深刻度“高”の脆弱性に対処

グーグルは10月22日、デスクトップ版「Google Chrome」の脆弱性を修正するアップデートをリリースした。

 グーグルは10月22日、デスクトップ版「Google Chrome」の脆弱性を修正するアップデートをリリースした。修正対応済みのバージョンはWindowsおよびMac版が「130.0.6723.69/.70」、Linux版が「130.0.6723.69」となる。

 修正された脆弱性の内容は以下のとおり。いずれも深刻度「高」で、特段の理由がない限り、アップデートの適用が推奨される。

●深刻度:高

・CVE-2024-10229:拡張機能における不適切な実装

・CVE-2024-10230/CVE-2024-10231:V8におけるType Confusion

 アップデートは今後数日から数週間かけて順次適用されるが、ブラウザーの設定から手動で更新することも可能だ。

🍎たったひとつの真実見抜く、見た目は大人、頭脳は子供、その名は名馬鹿ヒカル!🍏
Reply ›
Home
Forums
Forums Home
Invite a Friend Contact Us Bookmark Language (English)
Select Language
en English
jp 日本語
tw 中文(台灣)
cn 中文(简体)
© 2026 YourCompany