Firefox for Android 60 がリリースされた
Mozilla は米国時間 2018 年 5 月 9 日、安定性及びセキュリティ問題を修正を含む Android 向け Firefox のメジャーアップデート版である Firefox for Android 60.0 をリリースした。
Firefox for Android 60.0 での新機能や改良点、セキュリティ修正、既知の問題は次のとおり。本バージョンは、コアエンジンおよびユーザーインターフェイスが刷新された「Firefox Quantum」と呼ばれる数回のリリースのうちの 4 回目となる。
新機能及び改良点
- 新機能
- より高速なレンダリングのために Quantum CSS (Stylo) を実装
- 新機能
- TLS 1.3 の draft-23 のサポートを既定で有効化
- 新機能
- ページアクションメニューに「ページのソースを表示」を追加
セキュリティ修正
このアップデートでのセキュリティ問題への修正は合計 26 件、重要度区分において 最高 2 件、高 6 件、中 14 件、低 4 件が修正されている。
- CVE-2018-5154
- Use-after-free with SVG animations and clip paths
- CVE-2018-5155
- Use-after-free with SVG animations and text paths
- CVE-2018-5157
- Same-origin bypass of PDF Viewer to view protected PDF files
- CVE-2018-5158
- Malicious PDF can inject JavaScript into PDF Viewer
- CVE-2018-5159
- Integer overflow and out-of-bounds write in Skia
- CVE-2018-5160
- Uninitialized memory use by WebRTC encoder
- CVE-2018-5152
- WebExtensions information leak through webRequest API
- CVE-2018-5153
- Out-of-bounds read in mixed content websocket messages
- CVE-2018-5163
- Replacing cached data in JavaScript Start-up Bytecode Cache
- CVE-2018-5164
- CSP not applied to all multipart content sent with multipart/x-mixed-replace
- CVE-2018-5166
- WebExtension host permission bypass through filterReponseData
- CVE-2018-5167
- Improper linkification of chrome: and javascript: content in web console and JavaScript debugger
- CVE-2018-5168
- Lightweight themes can be installed without user interaction
- CVE-2018-5169
- Dragging and dropping link text onto home button can set home page to include chrome pages
- CVE-2018-5172
- Pasted script from clipboard can run in the Live Bookmarks page or PDF viewer
- CVE-2018-5173
- File name spoofing of Downloads panel with Unicode characters
- CVE-2018-5174
- Windows Defender SmartScreen UI runs with less secure behavior for downloaded files in Windows 10 April 2018 Update
- CVE-2018-5175
- Universal CSP bypass on sites using strict-dynamic in their policies
- CVE-2018-5176
- JSON Viewer script injection
- CVE-2018-5177
- Buffer overflow in XSLT during number formatting
- CVE-2018-5165
- Checkbox for enabling Flash protected mode is inverted in 32-bit Firefox
- CVE-2018-5180
- heap-use-after-free in mozilla::WebGLContext::DrawElementsInstanced
- CVE-2018-5181
- Local file can be displayed in noopener tab through drag and drop of hyperlink
- CVE-2018-5182
- Local file can be displayed from hyperlink dragged and dropped on addressbar
- CVE-2018-5151
- Memory safety bugs fixed in Firefox 60
- CVE-2018-5150
- Memory safety bugs fixed in Firefox 60 and Firefox ESR 52.8
Firefox for Android 60.0 で修正された全ての問題は Mozilla.org bugs fixes (英語) を、Firefox for Android 60.0 についての一般的な情報は リリースノート を、開発者向けの情報は MDN を参照されたい。
Firefox for Android 60.0 は Google Play からダウンロード可能となっている。また、既存の Firefox for Android のユーザには Google Play 経由でアップデートが提供される。
- ダウンロード:
- Mozilla, Google Play
- リリースノート:
- Firefox for Android 60.0 リリースノート
- セキュリティアドバイザリ:
- MFSA 2018-11
- 修正されたバグ:
- Complete list of changes in the Firefox for Android 60.0 (英語)
