「Firefox 95」が正式登場！ サイト分離と「RLBox」で守りを固める

[ITmedia]

　米Mozilla Foundationは12月7日（現地時間）、PC向けWebブラウザ「Firefox」の新版となるバージョン95の提供を始めた。既に使用中のユーザーは、「Mozilla Firefoxについて」のダイアログを表示させることでバージョンアップが自動的に始まる。また今回の新バージョンから、Microsoft Storeでプログラムをダウンロードできるようになった。

「Mozilla Firefoxについて」のダイアログ

　今回のメジャーバージョンアップでは、セキュリティ対策となる機能2種類を組み込んだ。1つ目はサイト分離で、それぞれ異なるWebサイトからページを読み込む際に、サイトごとにプロセスを分離する。同じWebサイトに見えて、ユーザー名とパスワードを入力する部分だけが別のサイトから読み込んでいるという場合もある。このような場合でも、「Meltdown」や「Spectre」といった「サイドチャネル攻撃」を防げる。

　もう1つは、Webブラウザの機能ごとの分離を図る技術だ。Mozilla Foundationはこの技術を「RLBox」と呼んでいる。Firefoxを構成するプログラムの中でも、スペルチェッカーやXMLパーサーなどはサードパーティーが供給するものを使っている。Mozilla Foundationは、これらサードパーティーが供給するプログラムを「バグが入り込みやすい」と指摘している。

　RLBoxでは、サードパーティーが提供するプログラムを一旦WebAssemblyに変換し、その後に機械語に変換する。こうすることで、プログラム実行時にメモリ上の予期しない場所にジャンプしたり、メモリ上の指定の領域から外れた場所にアクセスしたりするなどの不都合な動作を防げる。

RLBoxについて説明するWebページ

　Firefox 95では、フォントシステム「Graphite」、スペルチェッカー「Hunspell」、マルチメディアコンテナ「Ogg」をRLBoxに分離する。続くFirefox 96ではさらに、XMLパーサー「Expat」とWebフォントシステム「Woff2」を分離するとしている。