米コンピュータ緊急事態対策チーム(US-CERT: United States Computer Emergency Readiness Team)は1月11日、「Mozilla Releases Security Updates for Firefox, Firefox ESR, and Thunderbird |CISA」において、MozillaがFirefox 96、Firefox ESR 91.5、およびThunderbird 91.5をリリースしたと伝えた。

このリリースには複数の脆弱性に対する修正が含まれており、アップデートせずに放置すると、ウィンドウのなりすましによる情報窃取やアプリケーションのクラッシュ、iframeサンドボックスのバイパスによるページの改変などといった被害を受ける恐れがある。

Firefox 96.0


修正された脆弱性に関する情報は、それぞれ次のセキュリティアドバイザリにまとめられている。

Security Vulnerabilities fixed in Firefox 96 - Mozilla

Security Vulnerabilities fixed in Firefox ESR 91.5 - Mozilla

Security Vulnerabilities fixed in Thunderbird 91.5 - Mozilla

Security Vulnerabilities fixed in Firefox 96


リストに挙げられている脆弱性のうち、影響度が「high(高)」に分類されているものは次のとおり。

CVE-2022-22746: Calling into reportValidity could have lead to fullscreen window spoof

CVE-2022-22743: Browser window spoof using fullscreen mode

CVE-2022-22742: Out-of-bounds memory access when inserting text in edit mode

CVE-2022-22741: Browser window spoof using fullscreen mode

CVE-2022-22740: Use-after-free of ChannelEventQueue::mOwner

CVE-2022-22738: Heap-buffer-overflow in blendGaussianBlur

CVE-2022-22737: Race condition when playing audio files

CVE-2021-4140: Iframe sandbox bypass with XSLT

上記8件の脆弱性は、Firefox、Firefox ESR、Thunderbirdのいずれの製品にも影響する。

Firefoxはメニューから「Firefox について」を選択することでバージョンを確認することができる。アップデート可能なバージョンが存在する場合はその旨が表示されるので、指示に従ってFirefoxを再起動することでバージョンアップが適用される。Thunderbirdもアップデート方法は同じ。