セキュリティリサーチャーのCodean Labsが最近発見したPDF.jsのセキュリティ脆弱性CVE-2024-4367について、特定のPDFファイルを開いた際に不正なJavaScriptコードが実行される恐れがあることが判明しました。
この問題は、Firefoxのバージョン126未満を使用している全ユーザー、PDF.jsを使用している多くのウェブサイト、Electronベースのアプリ、スマホアプリに影響を与える可能性があります。
PDF.jsはMozillaによって開発されたJavaScriptベースのPDFビューアで、Firefoxの内蔵PDFビューアとしても、Node.jsモジュールとしても広く利用されています。
Electronは、デスクトップおよびスマホアプリケーションの開発に使用されるウェブ技術ベースのフレームワークで、PDF.jsの脆弱性がJavaScriptコードのサンドボックス化を突破し、ネイティブコードの実行につながるリスクを生じさせます。
Electronで作成されたアプリケーションについては、開発者がPDF.jsの更新を組み込んでリリースするまで、ユーザーはアップデートを待つか、リスクを避けるためにアプリケーションを削除することを検討する必要があります。
アプリケーションのアップデートが提供され次第、速やかにアップデートを行い、安全対策を更新することが推奨されます。
この脆弱性による影響は、情報漏洩や不正操作、デバイスの乗っ取りなど、非常に深刻です。
Mozillaは2024年5月14日にリリースした新しいバージョンのFirefoxとThunderbirdへのアップグレードを推奨します。