CVE-2019-17026: Mozilla Firefox のゼロデイ脆弱性、標的型攻撃で悪用される

Mozilla、標的型攻撃で悪用されている Firefox の脆弱性に対処するパッチをリリース

背景

1月8日、Mozilla Foundation は、標的型攻撃で悪用された Mozilla Firefox における「緊急」のゼロデイ脆弱性に対処するためのセキュリティアドバイザリをリリースしました。

分析

CVE-2019-17026は、Mozilla の JavaScript エンジンである SpiderMonkey の JavaScript Just-In-Time (JIT) コンパイラである IonMonkey の型混乱の脆弱性で、Mozilla のアドバイザリによると、この脆弱性は、特に StoreElementHole と FallibleStoreElement の「配列要素を設定するためのエイリアス情報が正しくない」ため、JIT コンパイラに存在します。

この脆弱性は、Qihoo 360 ATA の研究者により Mozilla に報告されました。Mozilla はアドバイザリで、「この脆弱性を突いた標的型攻撃を確認している」と述べ、ゼロデイ脆弱性の存在を認めています。このブログ記事が公開された時点では、悪用に関する詳細情報は公表されていません。

このアドバイザリは、1月7日にリリースされたばかりの Firefox 72 および Firefox Extended Support Release (ESR) 68.4に存在する脆弱性に対処します。

• Firefox 72: Mozilla Foundationセキュリティアドバイザリ 2020-01
• Firefox ESR 68.4: Mozilla Foundationセキュリティアドバイザリ 2020-02

昨年、Mozilla は標的型攻撃のサンドボックスエスケープの脆弱性である CVE-2019-11708と組み合わせて悪用された CVE-2019-11707にパッチを当てています。

概念実証

現時点では、この脆弱性の概念実証は公開されていません。

ソリューション

CVE-2019-17026 に対処するために Mozilla は Firefox 72.0.1、および、Firefox ESR 68.4.1. をリリースしました。Because this vulnerability has been exploited in targeted attacks, Firefox users are advised to upgrade as soon as possible.

影響を受けているシステムの特定

この脆弱性を識別するための Tenable のプラグインのリストは、リリースされた時点で こちら に表示されます。

詳細情報

• CVE-2019-17026に関する Mozilla Foundation セキュリティアドバイザリ

Tenable コミュニティの Tenable セキュリティレスポンスチームに参加してみませんか。

現代のアタックサーフェスを総合的に管理する Cyber Exposure Platform を初めて提供した Tenable について詳細情報をご覧ください。

今すぐ Tenable.io Vulnerability Management の 30 日間無料トライアルをお試しいただけます。