米Mozillaは、1月25日(現地時間)にFirefoxの新バージョンとなる「Firefox 85」をリリースした。Firefox 84から4週間でのバージョンアップである。途中、12月22日にマイナーバージョンアップの84.0.1、1月6日には84.0.2がリリースされている。84.0.1では、以下の修正が行われた。

  • 特定のサードパーティのPKCS11モジュールとスマートカードがインストールされているユーザーの安全なWebサイトの読み込みとクラッシュの問題の修正
  • 一部のWindowsユーザーのCanvas要素において想定よりも遅いパフォーマンスとちらつきの修正
  • OSのバージョン検出が正しくなかったことが原因で、一部のUnity JSゲームがApple Siliconデバイスにロードされないバグの修正
  • さまざまなサードパーティのウイルス対策ソフトウェアによって起因するクラッシュの発生する問題の修正

84.0.2では、以下のセキュリティアップデートが行われた。

  • 悪意のあるCOOKIE-ECHO SCTPチャンクを処理する際のメモリ解放後使用

深刻度は。最高レベルの「Critical」である。したがって、今回のバージョンアップは、84.0.2からとなる。

Firefox 85のインストール

すでに自動アップデートが可能な状況になっているが、ここでは手動でアップデートする方法を説明したい。Firefoxメニューの[ヘルプ]→[Firefoxについて]を開くと更新が自動的に開始される。[再起動してFirefoxを更新]をクリックする(図1)。

  • Firefox 85へのアップデート

    図1 Firefox 85へのアップデート

アップデート後のFirefox 85は、図2のようになる。

  • 図2 バージョン85にアップデート直後のFirefox

新規に、Firefox 85をインストールする場合、FirefoxのWebページからインストーラをダウンロードする(図3)。

  • 図3 Firefoxのダウンロードページ

[今すぐダウンロード]をクリックし、保存したファイルをダブルクリックして、インストールを開始する(図4)。

  • 図4 Firefox 85のインストール

画面の指示に従い、インストールを進めてほしい。以下では、新機能や変更点のいくつかを具体的に見ていこう。

Firefox 85の新機能

続いて、新機能であるが、今回のリリースでは、以下の新機能が追加された。

  • Firefoxは、Cookieをクリアした後でも、ブラウザに隠されたままでオンラインで追跡できる一種のトラッカーであるスーパーCookieからユーザーを保護するようになった。Firefoxで、スーパーCookieを分離することにより、あるサイトから次のサイトへの移動でのWebブラウジングを追跡することを防ぐ。
  • ブックマークの保存とアクセスがより簡単に。Firefoxは、保存されたブックマークの優先場所を記憶し、デフォルトで前回保存した場所に保存されるようにした(もちろん、変更も可能)。新しいタブを開いた際には、ブックマークツールバーが表示されるようになった。
  • パスワードマネージャーで、各ログイン情報を個別に削除するのではなく、保存したすべてのログインをワンクリックで削除できるようになった。

まず、スーパーCookieであるが、少し馴染みのない概念かもしれない。従来のトラッキング(追跡)では、Cookieなどを用い、ユーザーの行動を監視していた。しかし、最近の多くのブラウザでは、プライベートモードなどで追跡を拒否できるように設定できる。これで追跡を防ぐことができていたようにみえるが、広告業者側も追跡をするための手法を工夫していた。それがスーパーCookieである。

その原理を、簡単に説明しよう。Firefoxは高速化のために、キャッシュを使う。たとえば、画像データが、異なるWebサイトで同じものを使用していた場合、保存されているキャッシュのデータを使用することで高速化を実現していた。しかし、広告業者側がここに注目したのである。キャッシュされる画像データに識別データを埋め込み、それをWebサイトをまたいで利用する。結果、クロスサイトでユーザーの行動が追跡できる。画像データ以外にも、ファビコン、フォント、スタイルシートなどユーザーが把握しにくいデータを使うことで、追跡が行われていた。

Mozillaでは、FirefoxのキャッシュをWebサイトごとに分割することにしたのである。キャッシュの共有を停止したというとわかりやすいかもしれない。結果、ユーザーのWebサイトまたいだ行動も追跡不能となった。一方で、弊害もある。キャッシュをWebサイトごとに分割することで、上述のキャッシュの共有による効率化が使用不能となる。当然、速度低下が予想される。しかし、Mozillaの調査結果によれば、影響はそれほど大きくないとのことだ。それをふまえ、今回のスーパーCookie対策の実装となったのである。

次いで、ブックマーク関連であるが、前回、どのフォルダにブックマークを保存したかを記憶し、次のブックマーク保存時にそのフォルダを表示するようになった。

  • 図5 ブックマークの保存

また、新規にタブを開いた時にブックマークツールバーが表示されるようになった。

パスワードマネージャーのログイン情報の一括削除であるが、about:loginsページを表示する。右上の[…]をクリックし、[ログイン情報をすべて消去]を選択するとすべてのログイン情報が削除される。

  • 図6 ログイン情報をすべて消去

セキュリティアップデート

同時に行われたセキュリティアップデートであるが、修正された脆弱性はCVE番号ベースで13件である。深刻度の内訳は、4段階で上から2番目の「High」が5件、上から3番目の「Moderate」が6件、もっとも低い「Low」が2件となっている。

「High」では、

  • リダイレクトされたPDFリクエストを介したクロスオリジン情報の漏洩
  • JavaScriptのswitch文で論理代入演算子を使用する際の型の不統一
  • requestPointerLockの誤用によるタブ間のクリックジャッキング
  • Firefox 85とFirefox ESR 78.7で修正されたメモリ安全性の問題
  • Firefox 85で修正されたメモリ安全性の問題

となっている。最高レベルの「Critical」はないが、早めのアップデートをすべきであろう。