画像: Mozilla
2020年が始まってまだ10日しか経っていないのに、すでに最初の重大なセキュリティ欠陥が見つかりました。これはMozillaの人気ブラウザFirefoxに由来するもので、その危険性は非常に高く、国土安全保障省サイバーセキュリティ・インフラセキュリティ庁がユーザーへの警告を発しています。
良いニュースは、既にパッチが適用されていることです。悪いニュースは、既に悪用されていることです。そして、これはまさに最悪の事態と言えるでしょう。技術的な観点から言えば、Mozillaの説明によると、「配列要素を設定するためのIonMonkey JITコンパイラにおけるエイリアス情報に誤りがあり、型の混乱を引き起こす可能性があります。つまり、攻撃者はJavaScriptコードを悪用してユーザーのPCを密かにハッキングし、Firefoxの外部に悪意のあるコードをインストールする可能性があります。」Mozillaは「この脆弱性を悪用した標的型攻撃が実際に発生していることを認識している」と述べていますが、攻撃の規模については明らかにしていません。
国土安全保障省もこの警告に同調し、ユーザーに対し「必要なアップデートを適用する」よう促した。政府はマルウェアや脆弱性を定期的に追跡しているが、一般ユーザー向けアプリがサイバーアラートのレベルに達することは稀だ。
TechCrunchによると、このバグは最初のアップデートがリリースされてからわずか2日後に、中国のセキュリティ企業Qihoo 360によって初めて発見されました。この脆弱性はFirefox 72.0.1およびFirefox延長サポートリリース(ESR)68.4.1で修正されています。Firefoxは起動時にすぐにアップデートを確認するはずですが、その設定を無効にしている場合は、設定内の「一般」タブからブラウザを更新できます。
