セキュリティアップデート

今回のバージョンアップでは、以下のセキュリティアップデートが行われた。

  • OS X 10.10上のApple CoreGraphicsフレームワークによって入力データが/tmpディレクトリへ記録される[高]
  • BasicThebesLayerからBasicContainerLayerへの問題あるキャスト[高]
  • メディアコンテンツ解析中のバッファオーバーフロー[最高]
  • HTML5解析中の解放後使用[最高]
  • CSP違反報告を通じたリダイレクトデータの漏えい[高]
  • 一部の入力ストリームによるXMLHttpRequestのクラッシュ[中]
  • 不正なCSS宣言を通じたXBLバインディングへのアクセス[中]
  • さまざまなメモリ安全性の問題(rv:34.0/rv:31.3)[最高]

今回は最高レベルが3件で、全部で8件となっている。早めにアップデートしておきたい。

旧バージョンでSSL 3.0を無効にするには

さて、新機能でもふれたように、Firefox 34ではSSL 3.0のサポートが終了した。これは、POODLEと呼ばれる脆弱性に起因する(暗号化通信の内容が解読されてしまう)。SSL 3.0はこれまで長く使用され、現在では後継のTLSに移行しつつある。そのため、サポートを廃止したのは、当然ともいえる。今回のアップデートをしていれば、問題はない。しかし、34未満のバージョンを使い続ける必要があるならば、以下の対策をしてほしい。1つめの方法は、SSL Version Controlアドオンのインストールである。アドオンマネージャで検索を行うと、図8のようになる。

図8 アドオンマネージャで検索

[インストール]をクリックする。アドオンマネージャの設定メニューを開くと、通信プロトコル選択が可能なので、ここで[TLS 1.2]などを選べばよいだろう(図9)。

図9 [TLS 1.2]を選択

それ以外には、about:configの[security.tls.version.min]の値を「0」から「1」へ変更するという方法もある(アドオンを使ったほうが、簡単だろう)。前提として、旧バージョンを使い続けることは推奨されない。しかし、何かの事情があって使い続ける場合には、このような対処を行ってほしい。