Firefox 50 がリリースされた
Mozilla は米国時間 2016 年 11 月 15 日、安定性及びセキュリティ問題の修正を含む Firefox のメジャーアップデート版である Firefox 50.0 をリリースした。延長サポート版 である Firefox ESR 45.5.0 も継続してリリースされている。
Firefox 50.0 での新機能や改良点、セキュリティ修正、既知の問題は次のとおり。
新機能及び改良点
- 新機能
- Windows と Mac で Widevine の WebM EME がサポートされ、より多くのサイトでプラグインなしで動画閲覧できるようになった
- 新機能
- SDK を利用している拡張、もしくは SDK モジュールローダーを利用している拡張のパフォーマンスが向上
- 新機能
- ダウンロード保護の対象となる、Windows、Mac、Linux で実行可能なファイルの種類が大きく増加
- 新機能
- Windows 7 以降の利用者のうち、 98% 以上の環境で WebGL が利用できるようになった
- 新機能
- グララニー語 [gn] をロケールに追加
- 新機能
- ページ内検索に、完全一致のもののみ検索する機能を追加
- 新機能
- キーボードショートカットが次のように更新された:
- Ctrl-Tab で、最近閲覧した順にタブを切り替えられるような設定を追加
- Ctrl+Alt+R (Mac では command+alt+r) でリーダーモードでページを閲覧できるようになった
- 変更
- 54.35.1 以前の libavcodc をブロックするようになった
- 変更
- 組み込みの絵文字を追加 (Windows 8.0 以前や Linux のような絵文字フォントのない環境で利用される)
- 開発者
- Web 開発者向けの変更点の詳細はこちらを参照
- 修正
- border-radius を用いて作成された角丸の点線と破線の描画に関する不具合を修正
セキュリティ修正
このアップデートでのセキュリティ問題への修正は合計 27 件、重要度区分において 最高 3 件、高 12 件、中 10 件、低 2 件が修正されている。
- CVE-2016-5296
- rasterize_edges_1 におけるヒープバッファオーバーフローの書き込み
- CVE-2016-5292
- URL 解析中のクラッシュ
- CVE-2016-5293
- updater.log ハードリンクを用いた、Mozilla Updater と Maintenance Service による任意のファイル書き込み
- CVE-2016-5294
- 更新プロセスの結果ファイルに任意のターゲットディレクトリーが設定されてしまう
- CVE-2016-5297
- JavaScript における引数の長さの誤検査
- CVE-2016-9064
- アドオン更新時に新旧バージョンの ID 一致が検証されていない
- CVE-2016-9065
- Android 版 Firefox のロケーションバーが全画面表示によって偽装される
- CVE-2016-9066
- nsScriptLoadHandler におけるバッファオーバーフローにつながる整数オーバーフロー
- CVE-2016-9067
- nsINode::ReplaceOrInsertBefore における解放後ヒープ使用
- CVE-2016-9068
- nsRefreshDriver における解放後ヒープ使用
- CVE-2016-9072
- 64 ビット NPAPI のサンドボックスが新規プロファイルで有効となっていない
- CVE-2016-9075
- WebExtension による mozAddonManager API を用いた特権昇格
- CVE-2016-9077
- Canvas フィルターによりクロスオリジン画像への feDisplacementMaps 適用が許容されており、タイミング攻撃が可能となっている問題
- CVE-2016-5291
- ローカル HTML ファイルと保存されたショートカットファイルを用いた同一オリジンポリシー違反
- CVE-2016-5295
- Mozilla Maintenance Service によるシステム権限での任意のファイル読み取り
- CVE-2016-5298
- SSL 表示が実際に訪れた URL についてユーザーを誤解させる可能性
- CVE-2016-5299
- シグネチャーレベルの許可設定で保護されたブロードキャスト中の Firefox AuthToken が、あらかじめインストールされた同一許可設定を定義しているアプリケーションによってアクセスできてしまう問題
- CVE-2016-9061
- シグネチャーレベルの許可設定で保護されたブロードキャスト中の API キー (glocation) が、あらかじめインストールされた同一許可設定を定義しているアプリケーションによってアクセスできてしまう問題
- CVE-2016-9062
- browser.db と wal ファイルにプライベートブラウジングの痕跡が残ってしまう (Android)
- CVE-2016-9070
- サイドバーのブックマークがクロームウィンドウへの参照を保持できてしまう
- CVE-2016-9073
- windows.create スキーマが “format”: “relativeUrl” を指定していない
- CVE-2016-9074
- divSpoiler におけるタイミングサイドチャンネル抵抗力不足
- CVE-2016-9076
- select ドロップダウンメニューを用いて e10s 上でロケーションバーを偽装できてしまう
- CVE-2016-9063
- Expat の XML_Parse における潜在的な整数オーバーフローの修正
- CVE-2016-9071
- HSTS/301 リダイレクトと CSP を通じたブラウザー履歴の調査
- CVE-2016-5289
- Firefox 50 で修正されたメモリー安全性の問題
- CVE-2016-5290
- Firefox 50 と Firefox ESR 45.5 で修正されたメモリー安全性の問題
Firefox 50.0 で修正された全ての問題は Mozilla.org bugs fixes (英語) を、一般的な情報は リリースノート を、開発者向けの情報は MDN を参照されたい。
アップデート及びシステム要件
Firefox 50.0 は Windows, Mac そして Linux 版が用意され、Mozilla Japan ウェブサイトよりダウンロード可能となっている。また、80 以上の言語に対応した各国語版は 次世代ブラウザ Firefox – 各国語版のダウンロード よりダウンロード可能となっている。また、既存の Firefox 4 以降のユーザには自動アップデート経由で通知されるが、Firefox メニューの “Firefox について” より手動でアップデートすることも可能だ。
Firefox 50.0 の利用に必要なシステム要件については、Firefox 50 システム要件 を参照されたい。
- ダウンロード:
- 50.0, ESR 45.5.0
- リリースノート:
- 50.0, ESR 45.5.0
- セキュリティアドバイザリ:
- MFSA 2016-89 (50.0), MFSA 2016-90 (ESR 45.5.0)
- 修正されたバグ:
- 50.0, ESR 45.5.0 (英語)
