セキュリティアップデート

今回のバージョンアップでは、以下のセキュリティアップデートが行われた。

  • Graphite 2ライブラリにおけるフォント脆弱性[最高]
  • NSSにおけるDERエンコード使用キー処理中の解放後使用[高]
  • NSSにおけるASN.1デコード中のバッファオーバーフロー[最高]
  • HTMLパーサにおけるメモリ割り当て失敗後の境界外読み取り[高]
  • WebRTCのGetStaticInstanceにおける解放後使用[高]
  • コード監査を通じて発見されたWebRTCとLibVPXにおける脆弱性[中]
  • 悪意のあるNPAPIプラグインによるメモリ破壊[高]
  • Brotli解凍におけるバッファオーバーフロー[高]
  • perfomance.getEntriesとセッション復元による履歴遷移を用いた同一オリジンポリシー違反[高]
  • 履歴遷移とLocationプロトコルプロパティを通じたロケーションバー偽装[中]
  • XML変換中の解放後仕様[最高]
  • FileReaderによる読み取り中にファイルを変更した際のメモリ破壊[中]
  • 複数のWebRTCデータチャンネルを使用した際の解放後仕様[最高]
  • SetBodyにおける解放後仕様[最高]
  • HTML5文字列パーサにおける解放後仕様[最高]
  • Service Worker Managerにおける境界外読み取り[最高]
  • 表示されているページのアドレスが上書きされてしまう問題[中]
  • MP4処理中に配列を削除した際のlibstagefrightにおけるメモリリーク[低]
  • IntelドライバによるLinux上のビデオメモリDOS[中]
  • CSPレポートが埋め込みiframeページの URL 情報を除去できていない[中]
  • CSPレポートを通じたローカルファイルの上書きと潜在的な特権昇格[高]
  • さまざまなメモリ安全性の問題(rv:45.0/rv:38.7)[最高]

今回は最高レベルが8件、全体で22個となっている。やはり、速やかにアップデートすべきだろう。