「Firefox 139」を公開 - 「クリティカル」脆弱性に対処

Mozilla Foundationは現地時間2025年5月27日、ウェブブラウザの最新版「Firefox 139」をリリースした。重要度を「クリティカル（Critical）」とし、利用者に注意を呼びかけている。

今回のアップデートでは、あわせて10件の脆弱性に対処した。5月20日に公開した「Firefox 138.0.4」では、重要度が4段階中もっとも高い「クリティカル（Critical）」とされる2件の脆弱性を解消したが、今回のアップデートも重要度を「クリティカル」としている。

脆弱性を具体的に見ると、「クリティカル」とされる脆弱性は1件。アドバイザリの公開時点でCVE番号は示しておらず、識別子として「MFSA-TMP-2025-0001」を割り振っている。

「libvpx」において、「WebRTC」エンコーダの初期化時に失敗し、メモリの二重解放が発生する「ダブルフリー」の脆弱性としており、メモリ破壊が生じるおそれがある。

「Thunderbird」でも同様の脆弱性に対応しており、そちらはMozillaが「CVE-2025-5262」を割り当てたが、別の採番機関によってCVE番号が割り当てられるべきであるとされ、CVEリストでは「拒否（Rejected）」の扱いとなっている。

（Security NEXT - 2025/05/29 ） ツイート

PR

関連記事

Cisco、アドバイザリ5件を公開 - コラボアプリにDoSやRCE脆弱性
直近更新で修正された「OpenSSL」脆弱性、「クリティカル」との評価も
「vLLM」に深刻なRCE脆弱性 - 動画を扱う環境に影響
「Chrome」に重要度「高」脆弱性が2件 - アップデートを公開
F5「BIG-IP」製品群に複数脆弱性 - DoSなどのおそれ
「SandboxJS」に新たなクリティカル脆弱性4件 - 修正実施
「React Native CLI」や「SmarterMail」の脆弱性悪用に警戒を - ランサムでも
悪用リストに脆弱性4件登録 - サポートツールやPBXなど3製品
Synology製NASに脆弱性 - 3rdパーティ製ツールに起因、KEV登録済み
APIクライアント生成ツール「Orval」にRCE脆弱性 - 再発で2度の修正