概要
Mozilla Firefox の JavaScript エンジン(SpiderMonkey)における JIT(Just-In-Time)コンパイラーに、型混同(type confusion)によるメモリ破壊脆弱性が存在します。
細工されたウェブページを閲覧することで、攻撃者がブラウザのコンテキストで任意のコードを実行できる可能性があります。JIT の最適化処理中に型の不整合が発生し、不正なメモリアクセス(CWE-843)につながります。
- 影響範囲: Firefox 150.0.3 未満を使用しているすべてのユーザー
- 攻撃条件: 悪意あるウェブページへのアクセス
CVSSベクトル
| 項目 | 値 |
|---|---|
| CVSS バージョン | 3.1(推定) |
| 攻撃経路(AV) | ネットワーク |
| 攻撃の複雑さ(AC) | 低 |
| 必要な権限(PR) | 不要 |
| ユーザーインタラクション(UI) | あり(ウェブページ閲覧) |
| 機密性への影響(C) | 高 |
| 完全性への影響(I) | 高 |
| 可用性への影響(A) | 低 |
影響を受けるソフトウェア
| 製品 | ベンダー | 影響バージョン |
|---|---|---|
| Firefox | Mozilla | < 150.0.3 |
Firefox ESR についても影響を受ける可能性があります。Mozilla のセキュリティアドバイザリを確認してください。
修正バージョンと回避策
修正バージョン: Firefox 150.0.3 以降
ブラウザのメニューから「ヘルプ」→「Firefox について」で自動アップデートが確認できます。
暫定対策: JavaScript を無効にすることで一時的な回避が可能ですが、多くのウェブサイトが動作しなくなるため推奨しません。早急なアップデートが最善です。
関連リンク
データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。