今回は、FireFoxのアップデートがきていたので、その件について書きたいと思います。
FireFox をアップデートしよう ( 79.0 )
78.0.2 からのメジャーバージョンです。
- 画面右上の設定アイコン [ 三 ] > [ ヘルプ ] を選択します。
- [ Firefoxについて ] を選択します。
- 自動的に更新がはじまります。
- [ 再起動して Firefox を更新(R) ] を選択します。
- 79.0になったらアップデート完了です。
更新内容を確認しよう
バージョン情報画面の更新情報からたどってみます。
何が新しくなったの?
リリース日付
Firefox 79.0 2020/07/28 リリース(現地時間)
新機能
- IntelおよびAMDのGPUを使用して、より多くのWindowsユーザーに WebRenderを展開し、グラフィックパフォーマンスをさらに多くのユーザーに提供しました。
- ドイツのFirefoxユーザーは、新しいタブで、Pocketのおすすめをさらに見ることができます。それらが表示されない場合は、次の手順に従って、新しいタブでPocket記事をオンにできます。
修正内容
- セキュリティ修正(Advisory 2020-30)
- JAWSスクリーンリーダーの使用時に頻繁に発生するクラッシュなど、スクリーンリーダーの使用中に発生するいくつかのクラッシュが修正されました。
- Firefox開発者ツールは、スクリーンリーダーのユーザーが以前はアクセスできなかったツールのいくつかを利用できるようにする重要な修正を受け取りました。
- SVG titleとdesc要素(ラベルと説明)が、スクリーンリーダーなどの支援技術製品に正しく公開されるようになりました。
企業
- Firefoxの最新バージョンでは、多数のバグ修正と新しいポリシーが実装されています。詳細については、Firefox for Enterprise 79リリースノートをご覧ください。
- パスワードポリシーの更新により、管理者はプライマリパスワード(以前はマスターパスワードと呼ばれていました)を要求できます。以前のポリシーでは、プライマリパスワードを無効にすることはできますが、プライマリパスワードを強制することはできませんでした。プライマリパスワードを使用する必要があるユーザーは、初めてパスワードを保存しようとしたとき。
開発者
- 新しく追加された非同期呼び出しスタックにより、開発者はイベント、タイムアウト、プロミスを通じて非同期コードを追跡できます。非同期実行チェーンはデバッガーのコールスタックに表示されますが、コンソールエラーおよびネットワークイニシエーターのスタックトレースにも表示されます。
- 4xx / 5xxステータスコードを含む誤ったネットワーク応答は、コンソールにエラーとして表示されるため、関連するログのコンテキストでそれらを簡単に理解できます。リクエスト/レスポンスの詳細を展開または再送信して、迅速なデバッグを行うことができます。
- JavaScriptエラーは、コンソールだけでなくデバッガーにも表示されるようになりました。関連するコード行が強調表示され、ホバー時にエラーの詳細が表示されます。
- すべてのパネルでソースマップの処理が改善されたため、インスペクターからSCSSおよびCSS-in-JSソースを開くことがより確実に機能するようになりました。
- ブラウザーのコンテキストメニューからユーザー補助プロパティを検査することが、すべてのユーザーがデフォルトで使用できるようになりました。
セキュリティ修正(Advisory 2020-30)
CVEベースで10件です。括弧内はFirefoxで規程されている重要度です。High 4件、Moderate 3件、Low 3件です。
- CVE-2020-15652 ( high )
- CVE-2020-6514 ( high )
- CVE-2020-15655 ( high )
- CVE-2020-15653 ( moderate )
- CVE-2020-6463 ( moderate )
- CVE-2020-15656 ( moderate )
- CVE-2020-15658 ( low )
- CVE-2020-15657 ( low )
- CVE-2020-15654 ( low )
- CVE-2020-15659 ( high )
CVE-2020-15652
重要度 : 警告 ( CVSS3.0 : 5.7 )
内容:情報漏洩の脆弱性
危険性:この脆弱性により、リモートの攻撃者が機密情報にアクセスする可能性があります。この脆弱性は、JavaScriptエラーのスタックトレースに過剰なデータが出力されるために発生します。リモートの攻撃者は、クロスオリジンリダイレクトの結果を取得できます。
CVE-2020-6514
重要度 : 警告 ( CVSS3.0 : 4.6 )
内容:セキュリティチェックの不備の脆弱性
危険性:この脆弱性により、リモートの攻撃者が機密情報にアクセスする可能性があります。この脆弱性は、WebRTCがクラスインスタンスのメモリアドレスを接続識別子として使用するために発生します。リモートの攻撃者は、取得した値を使用してASLR保護をバイパスできます。
CVE-2020-15655
重要度 : 警告 ( CVSS3.0 : 4.6 )
内容:情報漏洩の脆弱性
危険性:この脆弱性により、リモートの攻撃者が機密情報にアクセスする可能性があります。この脆弱性は拡張APIに存在します。Web拡張を介して監視または変更されたリダイレクトされたHTTPリクエストは、既存のCORSチェックをバイパスし、クロスオリジン情報の潜在的な開示につながる可能性があります。。
CVE-2020-15653
重要度 : 注意 ( CVSS3.0 : 3.7 )
内容:セキュリティ制限回避の脆弱性
危険性:この脆弱性により、リモートの攻撃者は実装されたセキュリティ制限を回避することができます。この脆弱性は、ポップアップを許可するときに、アプリケーションがセキュリティ制限を適切に課さないために発生します。リモートの攻撃者はnoopener、allow-popupsフラグが設定されている場合、攻撃者がサンドボックス構成に依存するWebサイトのiframeサンドボックスをバイパスできるようにするリンクを含む特別に細工したWebページを作成できます。
CVE-2020-6463
重要度 : 重要 ( CVSS3.0 : 7.7 )
内容:メモリ解放後の使用の脆弱性
危険性:この脆弱性により、リモートの攻撃者がターゲットシステムで任意のコードを実行することが可能になります。この脆弱性は、Google ChromeのANGLEの解放後使用エラーが原因で発生します。リモートの攻撃者は、特別に細工したWebページを作成し、被害者をだまして訪問させ、ヒープベースのバッファオーバーフローをトリガーし、システム上で任意のコードを実行できます。
CVE-2020-15656
重要度 : 注意 ( CVSS3.0 : 3.7 )
内容:メモリ解放後の使用の脆弱性
危険性:この脆弱性により、リモートの攻撃者がターゲットシステムで任意のコードを実行することが可能になります。この脆弱性は、Google ChromeのANGLEの解放後使用エラーが原因で発生します。リモートの攻撃者は、特別に細工したWebページを作成し、被害者をだまして訪問させ、ヒープベースのバッファオーバーフローをトリガーし、システム上で任意のコードを実行できます。
CVE-2020-15658
重要度 : 警告 ( CVSS3.0 : 6.5 )
内容:タイプの混乱の脆弱性
危険性:この脆弱性により、リモートの攻撃者がターゲットシステムで任意のコードを実行することが可能になります。この脆弱性は、Javascript argumentsオブジェクトを含むJIT最適化がIonMonkeyのその後の最適化を混乱させる可能性がある場合のタイプ混乱エラーが原因で発生します。リモートの攻撃者は、特別に細工したデータをアプリケーションに渡して、型の混同エラーをトリガーし、ターゲットシステムで任意のコードを実行できます。この脆弱性の悪用に成功すると、脆弱なシステムが完全に侵害される可能性があります。
CVE-2020-15657
重要度 : 重要 ( CVSS3.0 : 7.1 )
内容:権限昇格の脆弱性
危険性:この脆弱性により、ローカルユーザーはシステムの権限を昇格させることができます。アプリケーションがDLLライブラリをインストールディレクトリから安全でない方法でロードするため、この脆弱性が存在します。リモートの攻撃者は、特別に細工した.dllファイルをディレクトリに配置し、そこからFirefoxをインストールし、被害者をだましてFirefoxインストーラを起動させ、システム上で任意のコードを実行させることができます。
CVE-2020-15654
重要度 : 注意 ( CVSS3.0 : 2.7 )
内容:セキュリティ制限回避の脆弱性
危険性:この脆弱性により、リモートの攻撃者は特定のセキュリティ制限を回避できます。無限ループにある場合、CSSを使用してカスタムカーソルを指定するWebサイトは、ユーザーがユーザーインターフェイスと対話しているように見えますが、そうでない場合があります。これは、特に既存のブラウザーダイアログや警告との相互作用が機能しない場合に、認識されない破損状態につながる可能性があります。
CVE-2020-15659
重要度 : 重要 ( CVSS3.0 : 7.7 )
内容:バッファオーバーフローの脆弱性
危険性:この脆弱性により、リモートの攻撃者がターゲットシステムで任意のコードを実行することが可能になります。この脆弱性は、HTMLコンテンツを処理する際の境界エラーが原因で発生します。リモートの攻撃者は、特別に細工したWebページを作成し、被害者をだまして開かせ、メモリ破損を引き起こし、ターゲットシステムで任意のコードを実行できます。この脆弱性の悪用に成功すると、脆弱なシステムが完全に侵害される可能性があります。
まとめ
緊急性はないものの重要な脆弱性もあるので、できるだけ早めにアップデートしてお行きたいですね。
0 件のコメント:
コメントを投稿