ITmedia NEWS > 速報 >

「Firefox 28」の安定版リリース 「最高」レベルを含む18の脆弱性に対処

» 2014年03月19日 09時12分 公開
[鈴木聖子, 佐藤由紀子,ITmedia]

 Mozilla Foundationは3月18日(現地時間)、Webブラウザ安定版のアップデートとなる「Firefox 28」をWindows、Mac、Linux、Android向けに公開した。

 このアップデートで、オープンソースのビデオフォーマット「WebM」のビデオコーデック技術「VP9」、音声コーデック「Opus」をサポートした。また、HTML5のaudioとvideoの音量調節が可能になった。

 Web高速化プロトコル「SPDY」のバージョン2のサポートが終了した(Firefox 15からSPDY 3をサポートしている)。

 Mac版では「通知センター」をサポートした。米Appleの純正Webブラウザ「Safari」と同様に、対応するWebサイトのプッシュ通知をMacのデスクトップに表示させることができる。

 Windows版では「Firefox Metro」が終了した。

 Android版の主な新機能は以下の通り。

  • 文字の選択、カット、コピーの操作がAndroidネイティブに統一された
  • ロケーションバーに予測機能追加
  • 複数の共有ボタンの追加
  • タイトルバーを自動的に隠す設定機能の追加
  • OpenSearchのサポート

 セキュリティ関連としては、計18項目の脆弱性が修正された。重要度の内訳は、Mozillaの4段階評価で最も高い「最高」が5項目、上から2番目の「高」が3項目などとなっている。

 このうち「中性化後のTypedArrayObjectを通じた境界外書き込み」「中性ArrayBufferオブジェクトを通じた境界外読み書き」「TypeObject における解放後使用」「WebIDLに実装されたAPIを用いた特権昇格」の4項目に分類された5件の脆弱性は、3月13〜14日に開かれたZero Day Initiative主催のハッキングコンペ「Pwn2Own」でWebブラウザのセキュリティ破りに利用された。

 重要度は4項目とも「最高」と位置付けており、悪用された場合、任意のコードを実行される恐れがある。

 Pwn2Ownではフランスの脆弱性調査会社Vupenのほか、3人の挑戦者がFirefoxの脆弱性を突いて任意のコードを実行することに成功していた。

 この他、メモリ安全性に関する2件の脆弱性も重要度「最高」に区分けされている。延長サポート版は「Firefox ESR 24.4」がリリースされ、これら脆弱性に対処した。

Copyright © ITmedia, Inc. All Rights Reserved.