セキュリティアップデート

42のバージョンアップでは、以下のセキュリティアップデートが行われた。

  • NSSとNSPRのメモリ破壊問題[最高]
  • ワーカーを通じた混在コンテンツWebSocketポリシーの回避[中]
  • コード監査を通じて発見された一連の脆弱性[最高]
  • Javaアプレット実行時のJavaScriptガベージコレクション中のクラッシュ[高]
  • Locationヘッダのホスト名に含まれる特定のエスケープされた文字がエスケープされてないように扱われる[低]
  • ZIPファイルを通じたlibjarにおけるメモリ破壊[高]
  • 非標準Content-Typeヘッダ受信時のCORSプリフライト回避[高]
  • OS Xのアクセシビリティツールを使ったHTMLテーブル参照時のクラッシュ[中]
  • Android版Firefoxでのインテントを通じたXSS攻撃[高]
  • Androidインテントを使ってAndroid版Firefoxで機密ファイルを開けてしまう[中]
  • Canvasにおける画像操作時のバッファオーバーフロー[高]
  • IPアドレスホスト名末尾の空白文字による同一配信元ポリシー回避[高]
  • Add-on SDKパネル内のスクリプト無効化が機能していない[中]
  • Android上でのローカルHTMLファイルを通じた機密プロファイルファイルの読み取り[中]
  • Android版Firefoxのロケーションバーがフルスクリーンモード後に消されてしまう[中]
  • 寛容なリーダーモードのホワイトリストに起因するCSPの回避[中]
  • NTLM認証を通じた情報漏えい[低]
  • さまざまなメモリ安全性の問題(rv:42.0/rv:38.4)[最高]

今回のバージョンアップでは、トラッキング保護機能というこれまでにない新機能が実装された。冒頭でDo Not Trackについてふれたが、あくまでもユーザー側の宣言であって、強制力はない。したがって、対応しないWebサイトは、追跡し放題であった。それに対し、もう一歩、踏み出した対策といえるだろう。

そして、もう1つ紹介しておきたいのが、64bit版のリリースである。これまでもβ版ではあったのだが、正式版のリリースと同時に削除されていた。42からは、FTPサイトからのダウンロードのみであるが、可能となっている。

実際に64bit環境にインストールしての印象であるが、それほど変わったという印象はない(プロファイルやアドオンもそのままで問題なかった)。当然ながら、メモリ消費量は増えている。16GBといった多くのメモリを搭載している環境では快適に使えるだろう。注意すべきは、プラグインなども64bit化が必要なことである。興味を持たれたのであれば、チャレンジしてもいいだろう。