つみかさね

CVE-2026-12293

Critical(9.8)

CVE-2026-12293 — Firefox/Thunderbird WebGPU Use-after-free

公開日: 2026-06-19データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
FirefoxMozilla< 152
ThunderbirdMozilla< 152

対応ガイド

high|対応必須セキュリティ修正影響: 広範

推奨アクション

  1. 1Firefox または Thunderbird のバージョンを確認する(メニュー → ヘルプ → Firefox について)
  2. 2バージョンが 152 未満の場合、即時アップデートを実施する
  3. 3自動更新が有効でない場合は手動でダウンロード・インストールする

影響対象

Firefox 152未満利用者Thunderbird 152未満利用者

補足

  • -ESR をご利用の場合は Firefox ESR 140.12 または 115.37 への更新でも対応可能です
CVEFirefoxThunderbirdUse-after-freeWebGPUMozilla

概要

Firefox および Thunderbird の Graphics/WebGPU コンポーネントに Use-after-free 脆弱性が存在します(CWE-416)。攻撃者が用意した悪意あるウェブページを閲覧するだけで、ユーザーの操作なく任意コードを実行できる可能性があります。CVSS 3.1 スコアは 9.8(Critical)で、認証不要・ネットワーク経由での攻撃が可能です。

Mozilla MFSA2026-57 として 2026年6月16日に公開されました。

CVSSベクトル

項目意味
攻撃経路(AV)ネットワーク(N)リモートから攻撃可能
攻撃の複雑さ(AC)低(L)特別な条件なし
必要な権限(PR)なし(N)認証不要
ユーザー操作(UI)なし(N)ユーザー操作不要
スコープ変更(S)変更なし(U)
機密性影響(C)高(H)情報漏洩の可能性
完全性影響(I)高(H)データ改ざんの可能性
可用性影響(A)高(H)サービス停止の可能性

影響を受けるソフトウェア

製品影響バージョン修正バージョン
Firefox152 未満152
Thunderbird152 未満152

修正バージョンと対応策

  • Firefox: バージョン 152 にアップデート
  • Thunderbird: バージョン 152 にアップデート
  • ブラウザの自動更新が有効な場合は通常自動適用されますが、手動で確認することを推奨します

関連リンク

データソース: NVD (NIST), GitHub Advisory Database AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

関連する脆弱性

CVE-2026-12294Firefox Sandbox Escape (DOM Workers)CVSS 9.6CVE-2026-12295Firefox Sandbox Escape (DOM Navigation)CVSS 9.6CVE-2026-12296Firefox Sandbox Escape (Process Sandboxing)CVSS 9.6CVE-2026-12297Firefox Sandbox Escape (Networking)CVSS 9.6CVE-2026-12291Firefox Use-after-free (HTTP)CVSS 8.8

参考リンク

Mozilla:https://www.mozilla.org/security/advisories/mfsa2026-57/
NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-12293
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。