米国 Mozilla は2月4日、Firefox 27 をリリースした。複数の新たなプロトコルをサポートし、利用者に対してより高いセキュリティと向上したパフォーマンスを提供している。

Mozilla、Firefox 27 を公開 ― TLS 1.2 によるセキュリティと、SPDY 3.1 によるパフォーマンスを提供
Firefox 27 はデフォルトで「トランスポート・レイヤー・セキュリティー(Transport Layer Security:TLS)」プロトコルをサポートする。TLS は、SSL 暗号化プロトコルの後継とされる技術だ。Firefox 27 が2013年12月にベータフェーズに入ったとき、Mozilla エンジニア Sid Stamm 氏は eWeek に対して次のように語っていた。

「TLS 1.2 は、最新の標準をサポートしているサイトに対して、彼らの望むセキュリティを提供するための重要なステップだ」

Mozilla は他の Web ブラウザベンダーと比較して、TLS 1.2 のサポートでは後れを取っていた。Google は Chrome 30で、Microsoft は Internet Explorer 11 で、そして Apple は Safari 7 ですでに TLS 1.2 をサポートしている。

パフォーマンスの面では、Firefox 27 は SPDY 3.1 プロトコルをサポートした。SPDY はダウンロードの高速化を目指す Web プロトコル。Google が2011年に取り組みを開始し、現在は標準化作業が進められている。

セキュリティに関しては、Mozilla は Firefox 27 のリリースにあたり、13件のセキュリティアドバイザリを公開した。そのうち4件が「最高」にランク付けされたもの。その中には、これまでほぼすべての Firefox リリース同様に、「MFSA 2014-01:様々なメモリ安全性の問題」が含まれていた。

「最高」とされた脆弱性にはその他、「2014-08:imgRequestProxy と画像処理による解放後使用」も含まれている。これは、Zero Day Initiative を通じて Mozilla に報告されたものだ。

Firefox 27 はダウンロード確認ダイアログボックスに関する脆弱性「MFSA 2014-03:ダウンロード確認ダイアログに UI 選択タイムアウトが実装されていない」にも対応している。セキュリティアドバイザリには、次のようにある。

「ダウンロードするファイルの保存ダイアログに、ボタンが選択可能になるまでのセキュリティのための待ち時間が設定されていないことが、セキュリティ研究者の Jordi Chancel 氏によって報告されました。これは、偽装と組み合わせることでユーザをだまし、意図したものと異なるオプションを選択させ、特定の状況で、ダウンロードされたファイルを保存させるだけでなく開かせることも潜在的に可能でした」

重要度は低いものの、興味深い脆弱性としては、「MFSA 2014-10:Firefox 初期設定スタートページの UI コンテンツがスクリプトによって呼び出し可能」がある。これは、アタッカーがユーザープロファイルをリセットできるというものだ。

「ユーザが一度 Firefox 初期設定スタートページ(about:home) を見た後、同じタブで開かれたページがスクリプトによって about:home ページ上にあったボタンを有効化できてしまうという問題が、Yazan Tommalieh 氏によって発見されました。それらの多くは単に設定や履歴など Firefox のダイアログを開くもので、ユーザを驚かせる可能性がありました。特定の状況では、悪質なページがセッション復元を実行し、現在開かれているタブが前回セッションで保存されたものと置き換えられた場合にデータ消失につながる恐れがありました」

Sean Michael Kerner
Sean Michael Kerner は、eWeek および InternetNews.com の主任編集者。