概要
Firefox の GMP(Gecko Media Plugins)プロセス に メモリ 破損 の 脆弱性 が 存在 します。GMP プロセス は 暗号化 された メディア コンテンツ(DRM 保護 動画 等)を 処理 する コンポーネント で、攻撃者 が この プロセス 内 で メモリ 破損 を 引き起こし、任意 の コード 実行 に つながる 可能性 が あります。
GMP は Encrypted Media Extensions(EME)の 実装 に 使われ、Netflix や Amazon Prime Video 等 の DRM 保護 された 動画 ストリーミング サービス の 再生 に 必要 な コンポーネント です。この 脆弱性 は CWE-119(バッファ 操作 の 制限 不備)に 分類 され、メモリ バッファ の 境界 を 超えた 操作 が 可能 に なる こと で、攻撃者 に プロセス 内 の メモリ を 改ざん される リスク が あります。
攻撃者 は 悪意 の ある メディア コンテンツ を 含む Web ページ を 作成 し、ユーザー が その ページ で 暗号化 メディア を 再生 しよう と した 際 に 脆弱性 を 発動 させる 可能性 が あります。ネットワーク 経由 で 攻撃 可能 であり、攻撃 条件 の 複雑性 は 低い と 評価 されて います。
CVSS ベクトル
| 項目 | 値 |
|---|---|
| CVSS スコア | 9.8(Critical) |
| CWE | CWE-119(バッファ 操作 の 制限 不備) |
| 攻撃 元 区分 | ネットワーク |
| 攻撃 条件 の 複雑性 | 低 |
| 必要 な 特権 | 不要 |
| ユーザー 関与 | 不要 |
影響 を 受ける ソフトウェア
| 製品 | 修正 バージョン |
|---|---|
| Firefox | 最新 安定版 で 修正 済み |
| Thunderbird | 最新 安定版 で 修正 済み |
修正 バージョン と 回避策
Firefox および Thunderbird の 最新 安定版 へ の アップデート を 推奨 します。DRM 保護 コンテンツ を 視聴 しない 環境 で は、about:preferences の 「DRM コンテンツ の 再生 を 有効 にする」を オフ に する こと で リスク を 軽減 できます が、恒久 対策 として は アップデート を 推奨 します。
関連 リンク
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。