米国 Mozilla は、Firefox の最新版「Firefox 26」を公開した。オープンソースの Web ブラウザに対して、より強固なセキュリティと高いパフォーマンスを提供している。
Mozilla、Firefox 26 をリリース― Java プラグインの実行に「Click to Play」を適用


Firefox 26 でのセキュリティ強化の目玉は「Click to Play」。バージョン 26 以前の Firefox では、アクセスした Web サイトが Java などのプラグインの実行を要求した場合、プラグインは利用者の許可を得ることなく自動的にロードされ、実行されていた。だがこの仕組みは攻撃者によって悪用され、利用者が悪意のある Web サイトへとリダイレクトされたり、マルウェアに感染させられてしまったりといったことが発生していた。

Firefox 26 では、Mozilla は Java プラグインの自動実行を制限している。だが、同様の機能は Apple Safari 7 などの競合ブラウザですでに実装済みだ。しかも、Firefox 26 の「Click to play」では Safari 7 と異なり、Flash メディアコンテンツの自動実行をデフォルトで許可している。

Mozilla で Firefox プロダクトマネージャを務める Chad Weiner 氏は eWeek に対し、この件について次のように説明した。

「『Click to play』にはさらなるテスト期間が必要とされる。このため、Firefox 26 では Java 以外のプラグインの自動実行は、引き続きデフォルトで有効に設定されている。今後数週間のうちに、Mozilla はプラグインの『ホワイトリスト』ポリシーを公表し、我々の『Click to play』が適用されないプラグインや Web サイトとなるための方法を提供する予定だ」

パフォーマンス向上

Mozilla は Firefox 26 で、バグ修正によってパフォーマンス向上を実現した。そのバグの1つは、Bug 847223「ダウンロードしても表示されない画像をデコードしない」だ。Mozilla で Firefox のリードエンジニアを務める Gavin Sharp 氏は、このバグ修正は、Mozilla によるメモリ効率向上に向けた取り組み(プロジェクト名「MemShrink」)による成果の1つだと述べた。

「Firefox は修正の積み重ねにより、クラス最高のメモリ利用効率を誇るようになった。今回の修正により、Flickr など、画像の多いページを表示する際のメモリ使用量が削減されている。メモリ使用量が削減されたことで、安定性、応答性、パフォーマンスが向上するという、副次的な効果も生んでいる」

セキュリティパッチ

Mozilla は Firefox 26 で14のセキュリティアドバイザリに対応している。このうち、5つは重要度が「最高」とされるもの。さらにそのうちの3つは、メモリの解放後使用の問題だった。

メモリ解放後使用の問題のうち2つは、BlackBerry のセキュリティ自動解析チームによって、Mozilla に通知された。Mozilla は7月からセキュリティについて BlackBerry と提携を開始している。BlackBerry チームは、Google が開発したメモリリークを発見するツール「Address Sanitizer」を使用して、Firefox ブラウザの脆弱性を調査している。

Mozilla は例えば「セキュリティアドバイザリ 2013-111」で BlackBerry セキュリティ研究者の名前をクレジットしている。

「スクリプトを使った順序付きリストのドキュメントへの挿入が、Web コンテンツが引き起こせる潜在的に悪用可能なクラッシュにつながる可能性が、BlackBerry Security Automated Analysis Team のセキュリティ研究者 Tyson SmithJesse Schwartzentruber 両氏による Address Sanitizer ツールを使ったファジング検査で発見されました」

Sean Michael Kerner
Sean Michael Kerner は、eWeek および InternetNews.com の主任編集者。