火曜日にリリースされた Mozilla Firefox ブラウザのバージョン 14 では、いくつかの新しいセキュリティ関連の機能と、多数の脆弱性に対するパッチが提供されています。
Firefox 14.0.1 のリリースには 14 件のセキュリティ アドバイザリが付随しており、そのうち 5 件は Mozilla によって重大と評価されました。
重大なアドバイザリの 1 つは、「javascript: URL」機能の脆弱性に関するもので、攻撃者が JavaScript サンドボックスを回避し、昇格された権限で悪意のあるスクリプトを実行できる可能性があります。
Firefox 14 で修正されたもう 1 つの重大な欠陥を悪用されると、ブラウザの同一コンパートメント セキュリティ ラッパー (SCSW) がバイパスされる可能性があります。SCSW は、Web ページがそのコンテキスト外でコードを実行することを防ぐセキュリティ機能です。
「JSDependentString::undepend」関数が依存文字列を固定文字列に変換する方法に起因する重大なメモリ破損の問題も修正されました。パッチを適用せずに放置すると、ブラウザがクラッシュし、システム上で悪意のあるコードが実行される恐れがあります。
重大とマークされている他の 2 つのセキュリティ アドバイザリは、さまざまなコンポーネントに存在する、任意のコードの実行につながる可能性のある他の 6 つのメモリ破損の脆弱性に対応しています。
残りの 9 件のアドバイザリ (重大度が 4 件と中程度の 4 件) は、クロスサイト スクリプティング (XSS)、クリックジャッキング、フィッシング攻撃を容易にする脆弱性、または攻撃者が OAuth 2.0 アクセス トークンと OpenID 認証情報を盗み、ユーザーを騙して不正な SSL 証明書を受け入れさせ、悪意のある URL を隠すことを可能にする脆弱性に対処しています。
Firefox 14 では、多数の脆弱性に対処するだけでなく、ロケーション バー、検索ボックス、または右クリック メニューから開始される検索クエリに対して HTTPS を有効にすることで、Google Web 検索のセキュリティも強化されています。
Mozillaの開発者は火曜日のブログ投稿で、「公共または共有Wi-Fiネットワークをご利用の際に、ネットワーク管理者などの潜在的な詮索好きな目からデータを保護するために、FirefoxではGoogle検索を自動的に保護しています」と述べています。「現在、Firefoxで検索をプライベートにできる検索エンジンはGoogleのみですが、今後、この機能を他の検索エンジンにも提供していく予定です。」
Firefox 14 には簡素化された URL バーのファビコンも付属しており、ユーザーはさまざまな Web サイトでサポートされている接続セキュリティのレベルを簡単に判断できます。
HTTPS 以外の Web サイトでは URL の前に灰色の地球儀アイコンが表示され、HTTPS Web サイトでは灰色の鍵アイコンが表示されます。一方、EV (Extended Validation) 証明書を使用する HTTPS Web サイトでは URL バーに証明書の所有者の名前の横に緑色の鍵アイコンが表示されます。
Firefox 14のセキュリティ関連機能の一つとして、プラグインのオプトイン有効化があります。「クリックして再生」とも呼ばれるこの機能は、FlashやJavaなどのプラグインベースのコンテンツを再生する際に、ユーザーの承認が必要になります。
この機能はまだ開発中であるため、現時点では「about:config」にフラグを手動で設定することによってのみ有効にすることができます。ブラウザの「オプション」ダイアログから有効にすることはできません。
Firefox 14 のセキュリティ関連以外の機能には、Mac OS X Lion のフルスクリーン サポート、入力した URL の Awesome Bar オートコンプリート、Web アプリやゲームでマウスをより適切に制御できるようにするアプリケーション プログラミング インターフェイスである Pointer Lock API のサポートなどがあります。
