Firefox、Pwn2Ownでの脆弱性発覚を受け即日アップデートを実施

Mozillaは、年次ハッキング大会「Pwn2Own」でFirefoxの脆弱性が報告されたことを受け、同日中にアップデートを実施したと発表しました。Cyber Security Newsの報道によると、Palo Alto Networksの研究者2名がFirefoxの「アウト・オブ・バウンズ・ライト」脆弱性を突き、5万ドルと「Master of Pwn」ポイントを獲得しました。さらに翌日、別の参加者が整数オーバーフローの手法を用いてFirefoxレンダラー部分の脆弱性を実証しました。

しかしMozillaのセキュリティブログでは、Firefoxの堅牢なセキュリティアーキテクチャにより、実際にシステムへアクセスするにはサンドボックスからの脱出が必要であり、「いずれの参加者もサンドボックスを突破することはできなかった」としています。

Mozillaはこの結果を受け、最近のサンドボックス機構の改良が幅広い攻撃手法を無効化していると強調し、Firefoxの強固なセキュリティ姿勢に対する信頼がさらに高まったと述べています。