「Firefox 52」公開、非HTTPSページでの入力に警告 NPAPIプラグインは無効化
HTTPSで暗号化されていないページでユーザー名やパスワードを入力しようとすると、警告のポップアップが表示される。SliverlightやJavaなどのNPAPIプラグインは、Flashを除き、全て無効化された。
米Mozilla Foundationは3月7日、Webブラウザ安定版のアップデートとなる「Firefox 52」をデスクトップ向けとAndroid向けに公開した。
Firefox 52では、HTTPSで暗号化されていないページでユーザー名やパスワードを入力しようとすると、警告のポップアップが表示されるようになった。ポップアップは「ここで入力したログイン情報は流出の可能性があります」という内容の文言に、赤い斜線が入った灰色の鍵マークを付けて注意を促す。
Firefoxは2017年1月に公開されたバージョン51から、パスワードの入力を求めながらHTTPSを使っていないWebサイトでは、アドレスバーで赤い斜線の入った灰色の鍵アイコンが表示されるようになっていた。
さらに、セキュリティと安定性の強化を図る目的で、Web初期のAPIである「Netscape Plug-in API」(NPAPI)を使ったプラグインは、以前から予告していた通りにFlashを除いて全て無効化された。これでSliverlightやJavaといったプラグインは利用できなくなる。Flashについても、ユーザーが同意しなければ再生されなくする措置を年内に導入する方針だ。
また、段階的にサポートを廃止しているSHA-1についても、Firefox 52からはデフォルトで無効となる。Mozillaは2月の時点で、安全性の高いSHA-2証明書にまだ移行していないWebサイトにアクセスしているユーザーは、Webトラフィックの0.1%を切ったと伝えていた。
Firefox 52では多数の脆弱性も修正された。潜在的に悪用可能なクラッシュを引き起こす問題など、重要度「最高」に区分けされた深刻な脆弱性が多数を占める。脆弱性は延長サポート版の「Firefox ESR 45.8」でも修正された。
関連記事
- 「Firefox 51」公開、安全でないHTTPサイトに警告表示
Firefox 51からは、パスワードの入力を求めながらHTTPSを使っていないWebサイトに対して赤い斜め線の入った灰色の鍵アイコンを表示する。 - Firefox、NPAPIプラグインのサポートを2016年内に終了
JavaなどのNPAPIプラグインは2016年末までに、Firefoxの全バージョンで機能しなくなる。ただしFlash Playerだけは例外とした。 - Firefoxの更新版「50.1」公開、深刻な脆弱性を修正
「Firefox 50.1」「Firefox ESR 45.6」では13件の脆弱性が修正された。 - Firefoxに脆弱性報告、「Tor Browser」狙う攻撃に利用
匿名化ツールの「Tor Browser」を標的として、Firefoxの脆弱性を悪用する攻撃が発生している。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.