Mozilla Foundation の複数のソフトウェアに影響がある遠隔からの任意のコード実行につながる Type Confusion と Prototype Pollution の脆弱性(Scan Tech Report) | ScanNetSecurity
2023.02.03(金)

Mozilla Foundation の複数のソフトウェアに影響がある遠隔からの任意のコード実行につながる Type Confusion と Prototype Pollution の脆弱性(Scan Tech Report)

2022 年 5 月に、Firefox をはじめとする Mozilla Foundation の複数のソフトウェアに影響がある、遠隔からの任意のコード実行につながる複数の脆弱性が報告されています。

脆弱性と脅威
Mozilla Foundation の複数のソフトウェアに影響がある遠隔からの任意のコード実行につながる Type Confusion と Prototype Pollution の脆弱性(Scan Tech Report)
  • Mozilla Foundation の複数のソフトウェアに影響がある遠隔からの任意のコード実行につながる Type Confusion と Prototype Pollution の脆弱性(Scan Tech Report)
◆概要
 2022 年 5 月に、Firefox をはじめとする Mozilla Foundation の複数のソフトウェアに影響がある、遠隔からの任意のコード実行につながる複数の脆弱性が報告されています。攻撃者が作成した Web コンテンツなどに脆弱なソフトウェアでアクセスしてしまった場合は、攻撃者に侵入されてしまいます。ソフトウェアのアップデートにより対策してください。

◆分析者コメント
 脆弱性の影響を受けるソフトウェアの多くは、自動でソフトウェアアップデートが実行されるため、特別な設定をしていなければ脆弱性の影響を受ける可能性は低いですが、組織で用いている端末では業務利用システムの関係で、自動アップデートが無効化されている場合があると考えられます。念のためにソフトウェアのバージョンを確認して、脆弱性の影響を受けるかを調査し、脆弱性に対策することを推奨します。

◆深刻度(CVSS)
[CVSS v3.1]
+ CVE-2022-1802 : 8.8
 https://access.redhat.com/security/cve/cve-2022-1802#cve-cvss-v3

+ CVE-2022-1529 : 8.8
 https://access.redhat.com/security/cve/cve-2022-1529#cve-cvss-v3

◆影響を受けるソフトウェア
 以下のバージョンのソフトウェアが当該脆弱性の影響を受けると報告されています。

  + Firefox : バージョン 100.0.2 未満
  + Firefox for Android : バージョン 100.3.0 未満
  + Firefox ESR : バージョン 91.9.1 未満
  + Thunderbird : バージョン 91.9.1 未満

◆解説
 Mozilla Foundation の複数のソフトウェアで使用されている JavaScript エンジンに、組み合わせにより遠隔からの任意のコード実行につながる複数の脆弱性が報告されています。

 公開されているエクスプロイトコードは、CVE-2022-1802 と CVE-2022-1529 を悪用するものです。CVE-2022-1802 は JavaScript オブジェクトの Type Confusion を引き起こすものであり、ソフトウェアのプロセス空間の任意のメモリ情報を読み書きするためのオブジェクトを作成するための情報が漏えいするものです。攻撃者は、CVE-2022-1802 を悪用して、ソフトウェアの制限を回避するための情報の取得や、重要な情報の上書きが可能となります。もう一方の CVE-2022-1529 は Prototype Pollution の脆弱性であり、JavaScript オブジェクトの Prototype を、悪意のあるものに上書きするために悪用されます。攻撃者はこれらの脆弱性を悪用する Web コンテンツを作成して、脆弱性の影響を受けるソフトウェアの利用者にコンテンツを閲覧させることで、閲覧者の端末への侵入が可能となります。

◆対策
ソフトウェアを以下のバージョンにアップデートしてください。

  + Firefox : バージョン 100.0.2 およびそれよりも新しいバージョン
  + Firefox for Android : バージョン 100.3.0 およびそれよりも新しいバージョン
  + Firefox ESR : バージョン 91.9.1 およびそれよりも新しいバージョン
  + Thunderbird : バージョン 91.9.1 およびそれよりも新しいバージョン


◆関連情報
[1] Firefox 公式
  https://www.mozilla.org/en-US/security/advisories/mfsa2022-19/#CVE-2022-1802
[2] Firefox 公式
  https://www.mozilla.org/en-US/security/advisories/mfsa2022-19/#CVE-2022-1529
[3] Zero Day Initiative
  https://www.zerodayinitiative.com/blog/2022/8/23/but-you-told-me-you-were-safe-attacking-the-mozilla-firefox-renderer-part-2
[4] Red Hat 公式
  https://access.redhat.com/security/cve/cve-2022-1802
[5] Red Hat 公式
  https://access.redhat.com/security/cve/cve-2022-1529

◆エクスプロイト
 以下の Web サイトにて、当該脆弱性の悪用により Firefox の 100.0.1 に対して calc.exe の実行を試行する HTML と JavaScript のコードが公開されています。

  GitHub - mistymntncop/CVE-2022-1802
  https://github.com/mistymntncop/CVE-2022-1802

#--- ではじまる行は執筆者コメントです。

《株式会社ラック デジタルペンテスト部》

編集部おすすめの記事

特集

脆弱性と脅威 アクセスランキング

  1. Androidアプリ「スシロー」に情報漏えいの脆弱性

    Androidアプリ「スシロー」に情報漏えいの脆弱性

  2. 富士フイルムビジネスイノベーション製のドライバー配布ツールに脆弱性

    富士フイルムビジネスイノベーション製のドライバー配布ツールに脆弱性

  3. Proofpoint Blog 第21回「夢は(オマエの財布から)ガッポリ、北朝鮮の“スタートアップ”APT「TA444」とは?」

    Proofpoint Blog 第21回「夢は(オマエの財布から)ガッポリ、北朝鮮の“スタートアップ”APT「TA444」とは?」

  4. Zoom に複数の脆弱性

  5. Mandiant Blog 第10回「Windows環境のEDR終了させる悪質ドライバ ~ 証明署名付きマルウェアの追跡」

  6. PlayStation公式になりすましたアカウントに注意喚起、個人情報要求DMも

  7. 「WhatsApp」の通知を装うスパムメールを確認、標的はモバイル端末(トレンドマイクロ)

  8. Apache HTTP Server 2.4に複数の脆弱性

  9. 「フォートナイト バトルロイヤル」の不正ツールにスパイウェアが混入

  10. 『Apex Legends』不正プレイヤーへのBAN執行、PS4プレイヤーが大半を占める

アクセスランキングをもっと見る

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×