概要

弊社メンバーがMozilla Firefoxに報告していた脆弱性に新たにCVEが採番されました。CVE-2026-8947(Use-after-free in the DOM: Bindings (WebIDL) component)とCVE-2026-8964(Spoofing issue in the Popup Blocker component)の2件で、Firefox 151.0のセキュリティアドバイザリ(MFSA 2026-46)に掲載されています。Impactはそれぞれhigh、lowです。

MFSA 2026-46におけるCVE-2026-8947
MFSA 2026-46におけるCVE-2026-8947
MFSA 2026-46におけるCVE-2026-8964
MFSA 2026-46におけるCVE-2026-8964

AIによるメモリ破壊バグの発見

CVE-2026-8947は、弊社のAIを活用した脆弱性調査の過程で観測したメモリクラッシュを起点として特定したUse-After-Freeです。Firefox 149.0の時点でもUAFをASanで検出していましたが、先行する報告者の存在を把握していたため独自の報告には至りませんでした。今回は、AI支援の調査により得られたメモリ破壊バグがHigh評価のCVEとして採番された初の事例となります。

Firefox Nightlyのクラッシュ
Firefox Nightlyのクラッシュ
ASanによるUAF検出
ASanによるUAF検出

MozillaはMythosをはじめとする継続的なスキャン体制を備えていますが、その後段でも弊社の調査でメモリ破壊バグが浮かび上がるのは、弊社特有のアーキテクチャ構成に拠るところが大きいと考えています。

継続的な脆弱性調査

弊社では独自のアプローチによりLLMを活用した脆弱性調査を進めており、ブラウザを含む主要ソフトウェアに対する調査を継続していきます。こうした実践的な脆弱性発見の知見を活かしたセキュリティ診断・コンサルティングを提供しています。ご関心のある方はお問い合わせください。