概要
Firefox for Android の Audio / Video 再生(Playback)コンポーネント に ヒープ バッファ オーバーフロー 脆弱性 が 発見 されました。悪意 ある メディア コンテンツ を 処理 する 際 に ヒープ 上 の バッファ 境界 を 超える 書き込み が 発生 し、任意 の コード 実行 の 可能性 が あります。
Mozilla は Firefox for Android 148.0.2 で この 脆弱性 を 修正 しています。デスクトップ 版 Firefox に は この 脆弱性 は 影響 しません。
技術的 な 背景
ヒープ バッファ オーバーフロー(CWE-122)は、ヒープ 領域 に 確保 された バッファ の 境界 を 超えて データ を 書き込む 脆弱性 です。メモリ の 破壊 により、プログラム の クラッシュ(DoS)や、攻撃者 が 制御 する データ で メモリ を 上書き する こと で 任意 コード 実行 に つながる 可能性 が あります。
この 脆弱性 は Audio / Video の 再生 処理 に 関連 しており、ユーザー が 悪意 ある Web ページ を 訪問 し、細工 された メディア ファイル を 再生 した 場合 に トリガー されます。Android プラットフォーム 固有 の メディア 処理 パス に 問題 が ある ため、デスクトップ 版 には 影響 しません。
想定 される 影響
- 悪意 ある Web サイト 経由 で の 任意 コード 実行
- Android デバイス 上 の ユーザー データ へ の 不正 アクセス
- ブラウザ の コンテキスト で の セッション トークン や Cookie の 窃取
- Mozilla は CVSS 8.8 の High と 評価 しており、ユーザー の 操作(悪意 ある ページ の 訪問)が 必要 です
CVSS ベクトル
| 項目 | 値 |
|---|---|
| CVSSスコア | 8.8 (High) |
| 攻撃元区分 | ネットワーク |
| 攻撃条件の複雑さ | 低 |
| 必要な特権レベル | なし |
| ユーザ関与 | 必要 |
| CWE | CWE-122 (ヒープ バッファ オーバーフロー) |
影響 を 受ける ソフトウェア
| 製品 | ベンダー | 影響バージョン |
|---|---|---|
| Firefox for Android | Mozilla | 148.0.2 未満 |
修正 バージョン と 回避策
- Firefox for Android 148.0.2 以降 に アップデート して ください
- Google Play ストア から の 自動 アップデート を 有効 に して おく こと を 推奨 します
- Firefox for Android を MDM で 管理 している 場合 は、ポリシー で 最低 バージョン を 148.0.2 に 設定 して ください
関連リンク
データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。