画像: Mozilla Foundation
Mozillaは今月2度目となるFirefoxのゼロデイ脆弱性へのパッチ適用を余儀なくされました。この脆弱性は当初Chromeとその派生製品にのみ影響すると見られていました。libvpxプログラムライブラリに存在する脆弱性CVE-2023-5217は、既にChromeユーザーへの攻撃に利用されています。Googleは9月27日にこの脆弱性を修正するChromeの緊急アップデートをリリースしました。翌日、Mozillaもこれに追随し、Firefox 118.0.1とFirefox ESR 115.3.1のアップデートをリリースしました。この脆弱性はAndroid版Firefox 118.1.0でも修正されています。
オープンソースのlibvpxライブラリは、動画のエンコードに使用されます。CVE-2023-5217は、VP8形式で動画をエンコードする際にlibvpxに発生するバッファオーバーフローです。攻撃者がこの脆弱性を悪用すると、挿入された悪意のあるコードが実行される恐れがあります。攻撃者は、用意した動画を任意のWebページに埋め込み、メール内のリンクやメッセンジャーアプリなどを介して潜在的な被害者をそのページに誘導することができます。
Firefoxへのこのような攻撃は現時点では知られておらず、Chromeのみで確認されていますが、すべてのFirefoxユーザーは利用可能なアップデートを直ちにインストールする必要があります。インストールするには、 ≡メニューの「ヘルプ」>「Firefoxについて」に移動し、指示に従ってください。Mozillaはセキュリティレポートでこの脆弱性を「重大」と分類しています。
9月29日、Torプロジェクトはブラウザをアップデートし、ゼロデイ脆弱性を修正しました。Torブラウザ12.5.6では、開発者はFirefox ESR 115.3.1のセキュリティパッチを古いブラウザベースにバックポートしました。これは、Torブラウザ12.5.xが依然としてFirefox ESR 102.15をベースとしているためです。
同じく9月29日、Mozillaの子会社であるMZLA TechnologiesがThunderbirdのセキュリティアップデートを提供しました。Thunderbird 115.3.1では、ゼロデイ脆弱性CVE-2023-5217に加え、いくつかのバグが修正されています。
ブラウザセキュリティにとって悪い月
libvpxプログラムライブラリは、ビデオコーデックを専門とするOn2 Technologies社によって開発され、2010年にGoogleが買収しました。その後、Googleはこのソフトウェアをオープンソースとして公開しました。VP8およびVP9ビデオフォーマットをサポートしています。多くのオープンソースプロジェクトがこのような標準ライブラリを使用しており、その中にはリファレンス実装として認められているものもあります。
Googleは9月中旬にChromeの緊急アップデートを提供し、ブラウザに存在する別の重大なゼロデイ脆弱性を修正しました。オープンソースのlibwebpプログラムライブラリに存在する脆弱性CVE-2023-4863は、細工されたWebP形式の画像ファイルによって悪用される可能性があります。このプログラムライブラリはFirefoxでも使用されており、Firefoxも緊急パッチをリリースしています。一方、WebPライブラリを使用している開発者による多数のプログラムも影響を受ける可能性があることが明らかになりました。例えば、Gimp、LibreOffice、Telegram、1Passwordなど、多くのプログラムが潜在的な脆弱性を抱えています。
今後数日で、libvpxプログラムライブラリの脆弱性CVE-2023-5217によって、同様の惨事が繰り返されるかどうかが明らかになるだろう。例えば、人気のVLCメディアプレーヤーもlibvpxを使用しているほか、MPlayerやHandbrakeといったオープンソースのメディアプレーヤーや動画コンバーターも同様である。
この記事はドイツ語から英語に翻訳され、元々はpcwelt.deに掲載されていました。
この記事はもともと当社の姉妹誌 PC-WELT に掲載され、ドイツ語から翻訳およびローカライズされました。
著者: Frank Ziemann、PCWorld寄稿者
フランク・ジーマンは2005年から姉妹サイトPC-WELTでフリーランスライターとして活動し、ニュースやテストレポートを執筆しています。主なテーマはITセキュリティ(マルウェア、ウイルス対策、セキュリティギャップ)とインターネット技術です。
