Firefoxをお使いの方は即座にアップデートを！

Firefoxバージョン57、別名Firefox Quantumには、くすぶっていたFirefoxを目覚めさせる素晴らしい改良が施されていましたが、同時に、ユーザーに内緒でハッキングされたと勘違いされるようなプロモーション用アドオンをインストールしたり、いくつか失敗もやらかしてきました。今一番話題の失敗は、Firefoxのユーザーインターフェイスに隠された脆弱性で、アタッカーによって汚染されたコードがコンピューター上で実行されてしまうというものです。

一番最新のアップデート（バージョン 58.0.1）では既にパッチが行なわれていますが、これはFirefoxのChrome UIコンポーネント（名前が同じなだけでGoogleのブラウザとは無関係）に関わっており、これが適切にサンドボックス化されていなかったために、悪質なコードでブラウザや、果てはホストコンピュータにコマンドを実行させることができるというものでした。BleepingComputer.comによると、Chrome UIはFirefoxのユーザーインターフェイスのデザイン要素、つまりメニューバー、プログレスバー、ウィンドウタイトルバー、ツールバー、またはアドオンによって作られたUI要素などをさしています。

この脆弱性を突いて実行されるコードは、ユーザーアカウントの権限による制約を受けるので、通常のアカウントではダメージは大きくありません。しかし、管理者権限を持つアカウントの場合は、ユーザーに知られることなくコンピューター全体が影響を受ける可能性もあります。

この脆弱性はFirefoxの過去3バージョン、56、57、58に存在しており、Mozilla自体のセキュリティ顧問すらこの問題のレベルを「深刻（CRITICAL）」としているので、直ちにアップデートすることを推奨します。

Image: Mozilla via Gizmodo US
Source: BleepingComputer.com, Firefox, Mozilla

Sam Rutherford - Gizmodo［原文］
（scheme_a）