Firefox for Android 50 がリリースされた
Mozilla は米国時間 2016 年 11 月 15 日、安定性及びセキュリティ問題を修正を含む Android 向け Firefox のメジャーアップデート版である Firefox for Android 50.0 をリリースした。
Firefox for Android 50.0 での新機能や改良点、セキュリティ修正、既知の問題は次のとおり。
新機能及び改良点
- 新機能
- プレーヤーをオーバーレイ表示することで、HLS 形式の動画再生に対応
- 変更
- 最近使用したタブと、履歴を同じパネルにまとめることで、ユーザーインタフェースをよりシンプルにした
セキュリティ修正
このアップデートでのセキュリティ問題への修正は合計 27 件、重要度区分において 最高 3 件、高 12 件、中 10 件、低 2 件が修正されている。
- CVE-2016-5296
- rasterize_edges_1 におけるヒープバッファオーバーフローの書き込み
- CVE-2016-5292
- URL 解析中のクラッシュ
- CVE-2016-5293
- updater.log ハードリンクを用いた、Mozilla Updater と Maintenance Service による任意のファイル書き込み
- CVE-2016-5294
- 更新プロセスの結果ファイルに任意のターゲットディレクトリーが設定されてしまう
- CVE-2016-5297
- JavaScript における引数の長さの誤検査
- CVE-2016-9064
- アドオン更新時に新旧バージョンの ID 一致が検証されていない
- CVE-2016-9065
- Android 版 Firefox のロケーションバーが全画面表示によって偽装される
- CVE-2016-9066
- nsScriptLoadHandler におけるバッファオーバーフローにつながる整数オーバーフロー
- CVE-2016-9067
- nsINode::ReplaceOrInsertBefore における解放後ヒープ使用
- CVE-2016-9068
- nsRefreshDriver における解放後ヒープ使用
- CVE-2016-9072
- 64 ビット NPAPI のサンドボックスが新規プロファイルで有効となっていない
- CVE-2016-9075
- WebExtension による mozAddonManager API を用いた特権昇格
- CVE-2016-9077
- Canvas フィルターによりクロスオリジン画像への feDisplacementMaps 適用が許容されており、タイミング攻撃が可能となっている問題
- CVE-2016-5291
- ローカル HTML ファイルと保存されたショートカットファイルを用いた同一オリジンポリシー違反
- CVE-2016-5295
- Mozilla Maintenance Service によるシステム権限での任意のファイル読み取り
- CVE-2016-5298
- SSL 表示が実際に訪れた URL についてユーザーを誤解させる可能性
- CVE-2016-5299
- シグネチャーレベルの許可設定で保護されたブロードキャスト中の Firefox AuthToken が、あらかじめインストールされた同一許可設定を定義しているアプリケーションによってアクセスできてしまう問題
- CVE-2016-9061
- シグネチャーレベルの許可設定で保護されたブロードキャスト中の API キー (glocation) が、あらかじめインストールされた同一許可設定を定義しているアプリケーションによってアクセスできてしまう問題
- CVE-2016-9062
- browser.db と wal ファイルにプライベートブラウジングの痕跡が残ってしまう (Android)
- CVE-2016-9070
- サイドバーのブックマークがクロームウィンドウへの参照を保持できてしまう
- CVE-2016-9073
- windows.create スキーマが “format”: “relativeUrl” を指定していない
- CVE-2016-9074
- divSpoiler におけるタイミングサイドチャンネル抵抗力不足
- CVE-2016-9076
- select ドロップダウンメニューを用いて e10s 上でロケーションバーを偽装できてしまう
- CVE-2016-9063
- Expat の XML_Parse における潜在的な整数オーバーフローの修正
- CVE-2016-9071
- HSTS/301 リダイレクトと CSP を通じたブラウザー履歴の調査
- CVE-2016-5289
- Firefox 50 で修正されたメモリー安全性の問題
- CVE-2016-5290
- Firefox 50 と Firefox ESR 45.5 で修正されたメモリー安全性の問題
Firefox for Android 50.0 で修正された全ての問題は Mozilla.org bugs fixes (英語) を、Firefox for Android 50.0 についての一般的な情報は リリースノート を、開発者向けの情報は MDN を参照されたい。
Firefox for Android 50.0 は Google Play からダウンロード可能となっている。また、既存の Firefox for Android のユーザには Google Play 経由でアップデートが提供される。
- ダウンロード:
- Mozilla Japan, Google Play
- リリースノート:
- Firefox for Android 50.0 リリースノート
- セキュリティアドバイザリ:
- MFSA 2016-89
- 修正されたバグ:
- Complete list of changes in the Firefox for Android 50.0 (英語)
