セキュリティアップデート
37.0.1と37のバージョンアップでは、以下のセキュリティアップデートが行われた。
- HTTP/2 Alt-Svcヘッダを通じた証明書検証の回避[最高](37.0.1で修正)
- リーダーモードを通じた特権付きコンテンツの読み込み[高](37.0.1で修正)
- 非特権ページへの遷移時にウィンドウが特権付きコンテンツへのアクセスを保持できてしまう[中](以下37で修正)
- Android上での不十分なPRNGによるDNSポイズニング[低]
- アンカー遷移を通じた同一オリジン制限回避[高]
- 型混同問題による解放後使用[最高]
- メインスレッド外合成におけるメモリ破壊クラッシュ[最高]
- CORSリクエストがプリフライト後に30xリダイレクトを辿ってしまう[高]
- WebRTCにおける簡易型配列の誤ったメモリ管理[低]
- Flashと画像を用いたカーソルクリックジャッキング[中]
- QCMSライブラリにおける境界外読み取り[中]
- resource://ドキュメントが特権付きページを読み込めてしまう[中]
- アドオン軽量テーマのインストール許可が中間者攻撃を通じて回避される[中]
- Fluendo MP3 GStreamerプラグイン使用時の解放後使用[最高]
- さまざまなメモリ安全性の問題(rv:37.0/rv:31.6) [最高]
今回も多くのセキュリティアップデートがある。速やかにアップデートしておこう。
