2019年6月20日 (現地時間)、 Mozilla から Firefox および Thunderbird の脆弱性 (CVE-2019-11708) が公開されました。
本脆弱性は、Firefox および Thunderbird のサンドボックスの内外でやり取りされるメッセージの値検証が十分でないため、
サンドボックスで保護されていない親プロセスが、子プロセスから渡された Web コンテンツを開くことが可能となり、
結果として任意のコードが実行される可能性があります。
※ なお、Thunderbird の更新には、2019年6月18日に Firefox で修正された脆弱性 (CVE-2019-11707) の修正も含まれています。
脆弱性の影響を受ける製品およびバージョンは次のとおりです。
- Firefox 67.0.4 より前のバージョン
- Firefox ESR 60.7.2 より前のバージョン
- Thunderbird 60.7.2 より前のバージョン
Mozilla
Security vulnerabilities fixed in Firefox 67.0.4 and Firefox ESR 60.7.2
https://www.mozilla.org/en-US/security/advisories/mfsa2019-19/
Mozilla
Security vulnerabilities fixed in Thunderbird 60.7.2
https://www.mozilla.org/en-US/security/advisories/mfsa2019-20/
JPCERT/CC
Firefox の脆弱性 (CVE-2019-11707) に関する注意喚起
https://www.jpcert.or.jp/at/2019/at190027.html
対象となる 製品およびバージョンを使用するユーザは、バージョンアップなどの対応を検討してください。
CyberNewsFlash は、注意喚起とは異なり、発行時点では注意喚起の基準に満たない脆弱性の情報やセキュリティアップデート予告なども含まれます。今回の件を含め、提供いただける情報がありましたら、JPCERT/CCまでご連絡ください。
早期警戒グループ
メールアドレス : ww-info@jpcert.or.jp