Mozilla、ハッキング大会“Pwn2Own 2019”で報告された「Firefox」脆弱性を即日修正
Mozillaは3月22日(米国時間)、Webブラウザー「Firefox」のデスクトップ向け最新安定版「Firefox」v66.0.1を
公開した。本バージョンでは、ハッキングコンテスト“Pwn2Own 2019”で報告された脆弱性が2件修正された。
脆弱性の深刻度は、いずれも4段階中最も高い“最高”と評価されている。
1つ目の脆弱性(CVE-2019-9810)は、「Firefox」の“IonMonkey”JITコンパイラーに存在する欠陥。
Windowsカーネルの範囲外書き込みの問題と組み合わせ、特別に細工されたWebサイトへアクセスするだけで、
システムレベルでコードを実行できた。
2つ目(CVE-2019-9813)も“IonMonkey”JITコンパイラーの問題で、型混乱により任意のメモリを読み取られる
恐れがあるというものだ。“Pwn2Own 2019”ではサンドボックスを迂回するために利用され、ログオンしている
ユーザーの権限でコードを実行することに成功した。
https://forest.watch.impress.co.jp/docs/news/1176158.html
窓の杜 樽井秀人 2019年3月25日 08:00
Mozillaは3月22日(米国時間)、Webブラウザー「Firefox」のデスクトップ向け最新安定版「Firefox」v66.0.1を
公開した。本バージョンでは、ハッキングコンテスト“Pwn2Own 2019”で報告された脆弱性が2件修正された。
脆弱性の深刻度は、いずれも4段階中最も高い“最高”と評価されている。
1つ目の脆弱性(CVE-2019-9810)は、「Firefox」の“IonMonkey”JITコンパイラーに存在する欠陥。
Windowsカーネルの範囲外書き込みの問題と組み合わせ、特別に細工されたWebサイトへアクセスするだけで、
システムレベルでコードを実行できた。
2つ目(CVE-2019-9813)も“IonMonkey”JITコンパイラーの問題で、型混乱により任意のメモリを読み取られる
恐れがあるというものだ。“Pwn2Own 2019”ではサンドボックスを迂回するために利用され、ログオンしている
ユーザーの権限でコードを実行することに成功した。
https://forest.watch.impress.co.jp/docs/news/1176158.html
窓の杜 樽井秀人 2019年3月25日 08:00