Mozilla Foundationは、「Firefox」のセキュリティアップデート「Firefox 136.0.4」をリリースした。「Chrome」で報告されたゼロデイ脆弱性に関する修正としている。
「Chrome」のプロセス間通信を行うコンポーネントにおいて、ハンドルエラーによりサンドボックスを回避できる脆弱性「CVE-2025-2783」が判明。
これを受けて「Firefox」への影響を調査したところ、「Firefox」においてもIPCコードの処理において同様の問題「CVE-2025-2857」を特定した。悪用されるとサンドボックスを回避されるおそれがある。
開発チームは、脆弱性の重要度を4段階中もっとも高い「クリティカル(Critical)」とレーティング。Windows上で動作する「Firefox」のみ影響を受けるとしている。
同脆弱性へ対処したセキュリティアップデート「Firefox 136.0.4」をリリース。また延長サポート版「Firefox ESR 128.8.1」「同115.21.1」をあわせて提供しており、注意を呼びかけている。
(Security NEXT – 2025/03/28 )
ツイート
関連リンク
Firefox
Mozilla Japan
PR
関連記事
「Microsoft Edge」にアップデート – ゼロデイ脆弱性を解消
「Ghostscript」に複数の深刻な脆弱性 – 最新版で修正
「PowerCMS」に複数脆弱性 – アップデートで修正
「Next.js」脆弱性の概念実証が公開 – 脆弱なサーバを探索する動きも
「CrushFTP」に認証回避の脆弱性 – 早急にアップデートを
「Sitecore CMS」の既知脆弱性を狙う攻撃 – 米当局が注意喚起
Kubernetes「ingress-nginx」に脆弱性 – シークレット漏洩のおそれ
「Chrome」にゼロデイ脆弱性 – Windows向けにアップデートをリリース
APTグループが「Chrome」ゼロデイ脆弱性を悪用 – リンク経由で感染
「Kentico Xperience」に複数の「クリティカル」脆弱性