Firefoxの脆弱性(CVE-2019-17026)について
現地時間の1月8日、Firefoxの脆弱性に関する修正バージョンFirefox 72.0.1 and Firefox ESR 68.4.1が公開されました。
本バージョンの公開は、前日の1月7日に、Firefox72およびFirefox68.4が出た直後の出来事であり、 背景として、今回の修正された脆弱性を悪用した攻撃がすでに観測されていることが関係あると考えられます。
Security Vulnerabilities fixed in Firefox 72 — Mozilla
Security Vulnerabilities fixed in Firefox ESR 68.4 — Mozilla
脆弱性情報
- CVE-2019-17026
- IonMonkey type confusion with StoreElementHole and FallibleStoreElement
- 概要
- 報告者
- Qihoo 360 ATA
JITコンパイラとは
- ソフトウェアの実行時にコードのコンパイルを行い実行速度の向上を図るコンパイラ
- あらかじめ用意された実行環境に依存しない汎用的な中間コードを、プログラムの実行時点でプロセッサが実行可能な機械語にコンパイルする
- JavaやMicrosoft . NETなどで採用されている技術
- これにより、Webアプリケーションやゲームの実行速度が高速化される
- JavaScript から機械語への直接変換ではなく、中間表現を行う仕組みを用いるため、保守性の向上も見込まれる
古い記事にはなりますが、IonMonkeyに関する説明は、Mozillaのブログに書いてありますので、ご参考まで。
グラフを見る通り、ベンチマークの結果からも、JavaScriptの処理速度向上が示されていますね。
なお、本脆弱性については、米国のCISAからもアラートが出ており、 攻撃者が脆弱性を悪用することで、システムを乗っ取ることも可能だと言及されています。
今回簡単ではありますが、以前Coinbaseなどの組織への攻撃にFirefoxの脆弱性(CVE-2019-11707およびCVE-2019-11708)が悪用されたことを踏まえ、記事を書いてみました。
何かの参考になるとありがたいです。
おまけ
2020年が始まりましたね。 先週末、IT神社としても有名な神田明神にてお参りに行ってきて、おみくじも引いてきましたが、小吉でした。 何とも言えない感じですが、まだまだ伸びしろがあるということで、やる気出ますね。
今年はオリンピックイヤーということで、なかなか騒がしい年になると思いますが、引き続き頑張っていこうかと思います。