United States Computer Emergency Readiness Team (US-CERT)は7月29日(米国時間)、「Mozilla Releases Security Updates for Multiple Products|CISA」において、MozillaがFirefox、Firefox ESR、およびThunderbirdに対して、複数の脆弱性を修正するセキュリティアップデートをリリースしたと伝えた。

該当する脆弱性を悪用されると、攻撃者によって不正に情報が奪われたり、メモリ破損やクラッシュを引き起こされたりする危険性がある。今回リリースされたプロダクトおよびバージョンは以下の通り。

Firefox 79

Firefox ESR 68.11

Firefox ESR 78.1

Thunderbird 78.1

修正された脆弱性に関する情報は、それぞれ次のページにまとめられている。

Security Vulnerabilities fixed in Firefox 79 - Mozilla

Security Vulnerabilities fixed in Firefox ESR 68.11 - Mozilla

Security Vulnerabilities fixed in Firefox ESR 78.1 - Mozilla

Security Vulnerabilities fixed in Thunderbird 78.1 - Mozilla

Firefox 79で修正された脆弱性は、重要度「high」(高)のものが4個、「moderate」(中)のものが3個、「low」(低)のものが3個。Firefox ESR 68.11で修正された脆弱性は、重要度が「high」のものが3個、「moderate」のものが3個。Firefox ESR 78.1で修正された脆弱性は、重要度が「high」のものが4個、「moderate」のものが3個、「low」のものが3個。Thunderbird 78.1で修正された脆弱性は、重要度が「high」のものが4個、「moderate」のものが3個、「low」のものが3個。

このうち、重要度「high」の脆弱性は共通しており、次のようなものとなっている。

CVE-2020-15652: Web Workerのスタックトレースを調べることでクロスオリジン・リダイレクトの結果をリークできる

CVE-2020-6514: WebRTCのデータチャネルがクラスインスタンスのメモリアドレスをリークする。これはASLR(アドレス空間配置のランダム化)の回避につながる。

CVE-2020-15655: 拡張APIを使用して、CORS(オリジン間リソース共有)のポリシーチェックを回避できる。

CVE-2020-15659: メモリ安全性に関する複数のバグ。

Security Vulnerabilities fixed in Firefox 79 - Mozilla

Security Vulnerabilities fixed in Thunderbird 78.1 - Mozilla