FirefoxおよびThunderbirdに複数の脆弱性、アップデートを

米コンピュータ緊急事態対策チーム（US-CERT: United States Computer Emergency Readiness Team）は7月13日(米国時間)、「Mozilla Releases Security Updates for Firefox, Thunderbird｜CISA」において、Webブラウザ「Firefox」およびメールクライアント「Thunderbird」に複数の脆弱性が報告され、開発元のMozilla Foundationがセキュリティアップデートをリリースしたと伝えた。これらの脆弱性を悪用されると、攻撃者によってアプリケーションのクラッシュやWebサイトに対する不正なアクセス許可の取得などが行われるおそれがある。

Kaseya VSAの脆弱性修正するセキュリティアップデート公開、直ちに適用を

今回アップデートが提供されたのは、以下の3つのプロダクト。

Firefox 90
Firefox ESR 78.12
Thunderbird 78.12

それぞれの製品で修正された脆弱性の内容は次のページで確認できる。

Security Vulnerabilities fixed in Firefox 90 — Mozilla
Security Vulnerabilities fixed in Firefox ESR 78.12 — Mozilla
Security Vulnerabilities fixed in Thunderbird 78.12 — Mozilla

Firefox 90では全部で9件の脆弱性が修正されている。そのうち、重要度が「高(high)」に分類されているものは以下のとおり。

CVE-2021-29970: ドキュメントのアクセシビリティ機能における解放後のメモリ使用（Use After Free）
CVE-2021-29971: アクセス許可が付与されたWebページと同じホストで実行されているすべてのWebページに、スキームやポートに関係なくアクセス許可が付与される
CVE-2021-30547: ANGLEにおける範囲外のメモリ書き込み
CVE-2021-29976: Firefox 90およびFirefox ESR 78.12におけるメモリ安全性のバグ
CVE-2021-29977: Firefox 90におけるメモリ安全性のバグ

Firefox ESR 78.12では次の3件の脆弱性が修正されている。いずれもFirefox 90の脆弱性と同様で、重要度は「高(high)」に分類されている。

CVE-2021-29970: ドキュメントのアクセシビリティ機能における解放後のメモリ使用（Use After Free）
CVE-2021-30547: ANGLEにおける範囲外のメモリ書き込み
CVE-2021-29976: Firefox 90およびFirefox ESR 78.12におけるメモリ安全性のバグ

Thunderbird 78.12では次の4件の脆弱性が修正されている。いずれも重要度は「高(high)」に分類されており、CVE-2021-29970とCVE-2021-30547はFirefoxと同様のもの。

CVE-2021-29969: IMAP接続において、STARTTLSハンドシェイクの前にMITMによって送信されたIMAPサーバのレスポンスを処理できてしまう
CVE-2021-29970: ドキュメントのアクセシビリティ機能における解放後のメモリ使用（Use After Free）
CVE-2021-30547: ANGLEにおける範囲外のメモリ書き込み
CVE-2021-29976: Thunderbird 78.12におけるメモリ安全性のバグ