Mozilla Foundation の複数のソフトウェアに影響がある遠隔からの任意のコード実行につながる Type Confusion と Prototype Pollution の脆弱性(Scan Tech Report) | ScanNetSecurity
2024.04.19(金)

Mozilla Foundation の複数のソフトウェアに影響がある遠隔からの任意のコード実行につながる Type Confusion と Prototype Pollution の脆弱性(Scan Tech Report)

2022 年 5 月に、Firefox をはじめとする Mozilla Foundation の複数のソフトウェアに影響がある、遠隔からの任意のコード実行につながる複数の脆弱性が報告されています。

脆弱性と脅威
Mozilla Foundation の複数のソフトウェアに影響がある遠隔からの任意のコード実行につながる Type Confusion と Prototype Pollution の脆弱性(Scan Tech Report)
◆概要
 2022 年 5 月に、Firefox をはじめとする Mozilla Foundation の複数のソフトウェアに影響がある、遠隔からの任意のコード実行につながる複数の脆弱性が報告されています。攻撃者が作成した Web コンテンツなどに脆弱なソフトウェアでアクセスしてしまった場合は、攻撃者に侵入されてしまいます。ソフトウェアのアップデートにより対策してください。

◆分析者コメント
 脆弱性の影響を受けるソフトウェアの多くは、自動でソフトウェアアップデートが実行されるため、特別な設定をしていなければ脆弱性の影響を受ける可能性は低いですが、組織で用いている端末では業務利用システムの関係で、自動アップデートが無効化されている場合があると考えられます。念のためにソフトウェアのバージョンを確認して、脆弱性の影響を受けるかを調査し、脆弱性に対策することを推奨します。

◆深刻度(CVSS)
[CVSS v3.1]
+ CVE-2022-1802 : 8.8
 https://access.redhat.com/security/cve/cve-2022-1802#cve-cvss-v3

+ CVE-2022-1529 : 8.8
 https://access.redhat.com/security/cve/cve-2022-1529#cve-cvss-v3

◆影響を受けるソフトウェア
 以下のバージョンのソフトウェアが当該脆弱性の影響を受けると報告されています。

  + Firefox : バージョン 100.0.2 未満
  + Firefox for Android : バージョン 100.3.0 未満
  + Firefox ESR : バージョン 91.9.1 未満
  + Thunderbird : バージョン 91.9.1 未満

◆解説
 Mozilla Foundation の複数のソフトウェアで使用されている JavaScript エンジンに、組み合わせにより遠隔からの任意のコード実行につながる複数の脆弱性が報告されています。

 公開されているエクスプロイトコードは、CVE-2022-1802 と CVE-2022-1529 を悪用するものです。CVE-2022-1802 は JavaScript オブジェクトの Type Confusion を引き起こすものであり、ソフトウェアのプロセス空間の任意のメモリ情報を読み書きするためのオブジェクトを作成するための情報が漏えいするものです。攻撃者は、CVE-2022-1802 を悪用して、ソフトウェアの制限を回避するための情報の取得や、重要な情報の上書きが可能となります。もう一方の CVE-2022-1529 は Prototype Pollution の脆弱性であり、JavaScript オブジェクトの Prototype を、悪意のあるものに上書きするために悪用されます。攻撃者はこれらの脆弱性を悪用する Web コンテンツを作成して、脆弱性の影響を受けるソフトウェアの利用者にコンテンツを閲覧させることで、閲覧者の端末への侵入が可能となります。

◆対策
ソフトウェアを以下のバージョンにアップデートしてください。

  + Firefox : バージョン 100.0.2 およびそれよりも新しいバージョン
  + Firefox for Android : バージョン 100.3.0 およびそれよりも新しいバージョン
  + Firefox ESR : バージョン 91.9.1 およびそれよりも新しいバージョン
  + Thunderbird : バージョン 91.9.1 およびそれよりも新しいバージョン


◆関連情報
[1] Firefox 公式
  https://www.mozilla.org/en-US/security/advisories/mfsa2022-19/#CVE-2022-1802
[2] Firefox 公式
  https://www.mozilla.org/en-US/security/advisories/mfsa2022-19/#CVE-2022-1529
[3] Zero Day Initiative
  https://www.zerodayinitiative.com/blog/2022/8/23/but-you-told-me-you-were-safe-attacking-the-mozilla-firefox-renderer-part-2
[4] Red Hat 公式
  https://access.redhat.com/security/cve/cve-2022-1802
[5] Red Hat 公式
  https://access.redhat.com/security/cve/cve-2022-1529

◆エクスプロイト
 以下の Web サイトにて、当該脆弱性の悪用により Firefox の 100.0.1 に対して calc.exe の実行を試行する HTML と JavaScript のコードが公開されています。

  GitHub - mistymntncop/CVE-2022-1802
  https://github.com/mistymntncop/CVE-2022-1802

#--- ではじまる行は執筆者コメントです。

《株式会社ラック デジタルペンテスト部》

編集部おすすめの記事

特集

脆弱性と脅威 アクセスランキング

  1. PlayStation公式になりすましたアカウントに注意喚起、個人情報要求DMも

    PlayStation公式になりすましたアカウントに注意喚起、個人情報要求DMも

  2. バッファロー製無線 LAN ルータに複数の脆弱性

    バッファロー製無線 LAN ルータに複数の脆弱性

  3. Windows DNS の脆弱性情報が公開

    Windows DNS の脆弱性情報が公開

  4. Ivanti Connect Secure と Ivanti Policy Secure Gateways に複数の脆弱性、1 月以降の状況を整理

  5. Palo Alto Networks 社製 PAN-OS GlobalProtect に OS コマンドインジェクションの脆弱性

  6. 東京ディズニーリゾートを装ったフィッシングメールに注意を呼びかけ

  7. Android アプリ「ABEMA(アベマ)」にアクセス制限不備の脆弱性

  8. 典型的なアンケート詐欺を「Instagram」アプリ上でも確認(トレンドマイクロ)

  9. Proofpoint Blog 26回「世界で最もランサムウェア身代金を支払わない国ニッポン」

  10. メルカリがフィッシング詐欺に注意喚起、アプリの利用など推奨

アクセスランキングをもっと見る

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×