今回は、FireFoxのアップデートがきていたので、その件について書きたいと思います。
FireFox をアップデートしよう(78.0.1)
といってもバージョン情報を表示させるだけです。
- 画面右上の設定アイコン [ 三 ] > [ ヘルプ ] を選択します。
- [ Firefoxについて ] を選択します。
- 自動的に更新がはじまります。
- [ 再起動して Firefox を更新(R) ] を選択します。
- 78.0.1になったらアップデート完了です。
更新内容を確認しよう
バージョン情報画面の更新情報からたどってみます。
何が新しくなったの?
リリース日付
Firefox 78.0.1 2020/07/01 リリース
修正内容
前のリリースからアップグレードすると、インストールされている検索エンジンが表示されない問題を修正しました。
さらにReference link to 78.0 release notesをたどってみます。
macOS 10.9/10.10/10.11 の最終サポート
Firefoxのメジャーリリースとしては、macOS10.9/10.10/10.11 は最後のサポートになるようです。といっても、最新化していれば、macOSは 10.15となるので、アップデートできない事情があるビジネス向けの内容なのかもしれません。10.9/10.10/10.11 を継続利用される場合は、Firefox ESR版に移行というなるそうです。ビジネス向けFirefoxですね。アップデート当たり前の世界ってわけでもないってことなのでしょうか。
新機能
プロテクションダッシュボード
プロテクションダッシュボードには、トラッキングの保護、データ侵害、およびパスワード管理に関する統合レポートが含まれています。新機能により、次のことができます。
ダッシュボードから解決した違反の数を追跡する
保存したパスワードのいずれかがデータ侵害で公開されていないかどうかを確認します
ダッシュボードを表示するには、アドレスバーにabout:protectionsと入力するか、メインメニューから[保護ダッシュボード]を選択します。
アンインストール時の更新ボタン追加
Firefoxを再インストールして問題を修正するユーザ向けにアンインストーラーに[更新]ボタンを追加しました。
パフォーマンス改善
その他
Firefox 78は、延長サポートリリース(ESR)でもあります。ESRでは、以前の10リリースで行われた変更がESRユーザーに公開されます。主な特徴は次のとおりです。
キオスクモード
クライアント証明書
Service WorkerとPush APIが有効になりました
ブロックの自動再生機能が有効になっている
ピクチャーインピクチャーのサポート
about:certificateでのWeb証明書の表示と管理
修正されたセキュリティ脆弱性
https://www.mozilla.org/en-US/security/advisories/mfsa2020-24/修正されたセキュリティの脆弱性は、CVEベースで13件です。
CVE-2020-12415(bug1586630)
内容:入力検証エラー
影響:High
危険性:この脆弱性により、リモートの攻撃者がキャッシュポイズニング攻撃を実行できるようになります。この脆弱性Fは、マニフェストURLの文字を処理する際のエラーが原因で発生します。これにより、FirefoxのAppCache動作が混乱し、サブディレクトリからマニフェストを提供できるようになります。これにより、appcacheを使用して最上位ディレクトリのリクエストを処理できます。
CVE-2020-12416(bug1639734)
内容:WebRTC VideoBroadcasterの解放後使用
影響:High
危険性:この脆弱性により、リモートの攻撃者が脆弱なシステムを侵害する可能性があります。この脆弱性は、WebRTC VideoBroadcasterの解放後使用エラーが原因で発生します。A VideoStreamEncoderはとの競合状態で解放された可能性がありVideoBroadcaster::AddOrUpdateSink、その結果解放後使用になります。この脆弱性の不正利用に成功すると、攻撃者が脆弱なシステムを侵害する可能性があります。
CVE-2020-12417(bug1640737)
内容:タイプの混乱
影響:High
説明:この脆弱性により、リモートの攻撃者がターゲットシステムで任意のコードを実行することが可能になります。この脆弱性は、ARM64のValueTagの符号拡張がないために発生する型の混同エラーが原因で発生します。リモートの攻撃者は、特別に細工したデータをアプリケーションに渡して、型の混同エラーをトリガーし、ターゲットシステムで任意のコードを実行できます。この脆弱性の悪用に成功すると、脆弱なシステムが完全に侵害される可能性があります。
CVE-2020-12418(bug1641303)
内容:範囲外の読み取り
影響:High
説明:この脆弱性により、リモートの攻撃者が機密情報にアクセスする可能性があります。この脆弱性は、URLオブジェクトの個々の部分を処理する際の境界条件が原因で発生します。リモートの攻撃者は、特別に細工したWebページを作成し、被害者をだまして開かせ、範囲外の読み取りエラーをトリガーし、システム上のメモリの内容を読み取ることができます。
CVE-2020-12419(bug1643874)
内容:nsGlobalWindowInnerの解放後使用
影響:High
説明:この脆弱性により、リモートの攻撃者が脆弱なシステムを侵害する可能性があります。この脆弱性は、nsGlobalWindowInnerの親プロセスでウィンドウのフラッシュ中に発生したコールバックを処理する際の解放後使用エラーが原因で発生します。リモートの攻撃者は、特別に細工したWebページを作成し、被害者をだましてそのページにアクセスさせ、解放後使用エラーをトリガーし、ターゲットシステムで任意のコードを実行できます。この脆弱性の不正利用に成功すると、攻撃者が脆弱なシステムを侵害する可能性があります。
CVE-2020-12420(bug1643437)
内容:解放後使用
影響:High
説明:この脆弱性により、リモートの攻撃者が脆弱なシステムを侵害する可能性があります。この脆弱性は、STUNサーバーに接続しようとしたときに解放後使用エラーが原因で発生します。リモートの攻撃者は、特別に細工したWebページを作成し、被害者をだましてそのページを訪問させ、ポインタの解放後使用を引き起こす競合状態を引き起こし、システム上で任意のコードを実行できます。この脆弱性の不正利用に成功すると、攻撃者が脆弱なシステムを侵害する可能性があります。
CVE-2020-12402(bug1631597)
内容:暗号の問題
影響:Moderate
説明:この脆弱性により、リモートの攻撃者が秘密キーの素数を復元することができます。RSA鍵の生成中、bignumの実装では、大幅に入力に依存するフローを伴うバイナリ拡張ユークリッドアルゴリズムのバリエーションを使用しました。これにより、攻撃者は電磁気ベースのサイドチャネル攻撃を実行して、秘密キーの素数の復元につながるトレースを記録することができました。
CVE-2020-12421(bug1308251)
内容:不適切な証明書の検証
影響:Moderate
説明:この脆弱性により、リモートの攻撃者がインストールされているアドオンを無効にすることができます。この脆弱性は、アドオンの更新がソフトウェアの更新と同じ証明書信頼ルールが反映されないために発生します。アドオンの更新を実行すると、管理者によって正しく追加される場合でも組み込みではないルートで証明書追加処理が拒否されていました。これは、ユーザには警告されることなく行われます。
CVE-2020-12422(bug1450353)
内容:整数オーバーフロー
影響:Moderate
説明:この脆弱性により、リモートの攻撃者がターゲットシステムで任意のコードを実行することが可能になります。この脆弱性は、JPEG画像の処理時にnsJPEGEncoder :: emptyOutputBuffer関数内の整数オーバーフローが原因で発生します。リモートの攻撃者は、特別に細工したJPEG画像を作成し、被害者をだましてそのような画像のあるWebページにアクセスさせ、整数オーバーフローをトリガーし、ターゲットシステムで任意のコードを実行できます。この脆弱性の悪用に成功すると、脆弱なシステムが完全に侵害される可能性があります。
CVE-2020-12423(bug1642400)
内容:安全でないDLLロード
影響:Moderate
説明:この脆弱性により、リモートの攻撃者が脆弱なシステムを侵害する可能性があります。アプリケーションが「webauthn.dll」DLLライブラリを安全でない方法でロードするため、この脆弱性が存在します。リモートの攻撃者は、特別に細工した.dllファイルをリモートのSMBファイル共有に配置し、被害者をだまして、脆弱なアプリケーションに関連付けられているファイルを開かせ、被害者のシステムで任意のコードを実行できます。
CVE-2020-12424(bug1562600)
内容:.org URI の検証エラー
影響:Moderate
説明:この脆弱性により、リモートの攻撃者は実装されたセキュリティ制限を回避することができます。この脆弱性は、WebRTCでURI権限を処理する際のエラーが原因で発生します。リモートの攻撃者は、WebRTC権限プロンプトダイアログをバイパスできます。
CVE-2020-12425(bug1634738)
内容:Date.parse() の範囲外の読み取り
影響:Moderate
説明:この脆弱性により、リモートの攻撃者が機密情報にアクセスする可能性があります。この脆弱性は、Date.parse()でハイフン文字を混同処理することによる境界条件が原因で発生します。リモートの攻撃者は、特別に細工したWebページを作成し、被害者をだまして開かせ、範囲外の読み取りエラーをトリガーし、プロセスメモリの1バイトを読み取ることができます。
CVE-2020-12426
内容:バッファオーバーフロー
影響:Moderate
説明:この脆弱性により、リモートの攻撃者がターゲットシステムで任意のコードを実行することが可能になります。この脆弱性は、HTMLコンテンツを処理する際の境界エラーが原因で発生します。リモートの攻撃者は、特別に細工したWebページを作成し、被害者をだまして開かせ、メモリ破損を引き起こし、ターゲットシステムで任意のコードを実行できます。この脆弱性の悪用に成功すると、脆弱なシステムが完全に侵害される可能性があります。
0 件のコメント:
コメントを投稿