firefoxの最近のブログ記事

全くMSさんもなにやってんだか・・・

 WebブラウザFirefox向けMicrosoft製アドオンが、ブロックリストに追加された。Mozillaが10月16日、公式ブログで明らかにした。

 ブロックリストとは、そのアドオンをインストールするとFirefoxの動作に問題が発生するとMozillaが判断したアドオンのリストで、このリストにあるアドオンはインストールできない。また既にインストールされている場合は無効化される。

 新たにブロックリストに追加されたのは、「Microsoft .NET Framework Assistant」と「Windows Presentation Foundation」。これらはMicrosoftの「.NET Framework 3.5 SP1」をインストールすると自動的にFirefoxにインストールされるもので、Microsoft自身が10月のセキュリティアップデートで深刻な脆弱性を認めた。根本の原因となる脆弱性は10月13日公開のセキュリティ更新プログラム「MS09-054」を適用すればFirefoxでも解決されると強調しているが、Firefoxユーザーに対し無効化を勧めていた。

 だが、このプラグインを完全にアンインストールするのは一部のユーザーにとっては難しく、また無効にしなかった場合のリスクが非常に高いことから、Mozillaはこれらをブロックリストに追加したという。Microsoftには同日この決定を連絡し、同意を得たとしている。

Mozilla Foundationからセキュリティアドバイザリが出ています。

このページには、Mozilla 製品の特定のバージョンに影響を及ぼすことが知られているセキュリティ脆弱性のリストと、ユーザが自分自身の身を守るためにできることについての説明が載っています。新しいセキュリティの問題が見つかった場合は、このリストに追加されます。製品やバージョンごとに分類されていない完全なリストは Mozilla Foundation セキュリティアドバイザリ をご参照ください。

私たちがこれらのバグをどう取り扱うかについては mozilla.org のセキュリティバグ指針 をお読みください。もしこのリストに未掲載で公開の Bugzilla バグ として登録されていないセキュリティの問題を見つけたり、このリストに間違いや矛盾を見つけたら、私たちにメールで情報提供を (英語で) お願いします。セキュリティのメインページ で PGP 鍵を公開していますので、必要に応じてご利用ください。

これは、セキュリティ関連のバグをすべて網羅した完全なリストというわけではありません。セキュリティ関連のバグに関する技術的な議論について知りたければ Bugzilla をご覧ください。このページは、ユーザに直接影響のあるセキュリティ脆弱性を一覧にしたものです。これらの脆弱性はすべて最新のマイルストーンリリース以前に修正されています。

FirefoxにFlashのバージョンが古くないかチェックする機能が追加されたらしい。

 間もなくリリース予定のFirefoxブラウザ更新版に、プラグインのAdobe Flash Playerが最新のバージョンかどうかをチェックする機能が加わった。Mozillaがセキュリティブログで明らかにした。

 新機能を提供するのはFirefox 3.5.3とFirefox 3.0.14。ユーザーがFlash Playerの古いバージョンを使っている場合、Firefox更新版をインストールした後の告知ページに「すぐにFlash Playerを更新してください」という警告メッセージを表示し、Adobeのダウンロードページへと誘導する。

 Mozillaによれば、古いバージョンのプラグインを使っていると、クラッシュなど安定性の問題を引き起こすばかりでなく、セキュリティ上の重大なリスクを抱え込むことになる。

 特にFlash Playerは人気の高さに加え、80%ものユーザーが古いバージョンを使っているとの統計もあることから、まず対応することにしたという。今後はほかのプラグインベンダーとも協力して、同じようなバージョンチェック機能を提供する予定だとしている。

実態はトロイの木馬らしい・・・

 セキュリティ企業の英Sophosは、Firefoxブラウザ用のFlash Playerプラグインを装って感染を広げているマルウェアを見つけたとブログで伝えた。

 問題のファイルを実行するとインストール画面が現れ、「Adobe Flash Updated Successfully」(Adobe Flashのアップデートに成功しました)というメッセージを表示。Firefoxを再起動後、アドオン画面で拡張機能をチェックすると、「Adobe Flash Player 0.2」というプログラムが追加されている。

 しかしこのアドオンの実態はトロイの木馬で、ユーザーがGoogleで検索した内容を記録して外部のサーバに送信してしまうほか、ユーザーの検索用語に関連した広告をWebページに挿入する。Sophosはこのトロイの木馬を「FFSpy-A」と命名し、同社製品で検出できるようにした。

 FFSpy-Aはインターネットのフォーラムを通じて出回っているとみられ、感染を避けるためには知らないサイトや不審なサイトから実行可能ファイルをダウンロードしない方がいいとSophosは忠告している。

3件の脆弱性に対処したFirefox3.5.2がリリースされました。3件中2件は危険度が最高レベルですので早々にアップデートを!

 Mozilla Foundationは、Firefoxブラウザの更新版「Firefox 3.5.2」をリリースした。Mozillaのセキュリティアドバイザリーによれば、3件の脆弱性が存在し、このうち2件が危険度「最高」に分類している。

「証明書の正規表現パースにおけるヒープオーバーフロー」(MFSA 2009-43)の脆弱性は、悪用されると攻撃者に任意のコードを実行される恐れがある。ただし、Firefox 3.5にアップデートしていれば影響を受けないという。

 「SSLで保護された通信の情報漏えい」(MFSA 2009-42)の脆弱性では、SSLクライアントと、サーバ証明書を発行する認証局(CA)との間でドメイン名の扱いに食い違いがあることが発覚。攻撃者がクライアントとサーバ間の暗号化された通信を傍受したり、改ざんしたりすることができてしまう恐れがある。この2件の脆弱性は、MozillaのThunderbirdとSeaMonkeyにも影響する。

 残る1件(MFSA 2009-38)は、特定のSOCKS5プロキシからの応答受信にまつわるデータ破損問題に対処したもので、危険度は4段階で最も低い「低」となっている。

FF(ファイナルファンタジーではないw)のGUIはGoogle Chromeに似てるらしい(w

 オープンソースのWebブラウザ「Mozilla Firefox」を開発するFirefox開発チームは7月27日、次々期バージョンの「Firefox 4.0」のWindows向けのモックアップ画面を公開した。7月20日には次期バージョンの「Firefox 3.7」向けのモックアップ画面も公開している。

 公開したのは、いずれもWindows向けのユーザーインターフェイスを示すもので、議論の対象として掲載されたもの。目を引くのはFirefox 3.7でWindows Vista/7標準のテーマ「Aero」のように半透明ウィンドウ枠を採用していることと、ドロップダウンメニューが消えていること。代わりに、ブックマークやツールにアクセスするボタンは、検索ウィンドウの右側に配置されている。

Firefox3.5.1がリリースされました。JavaScriptに関する深刻な脆弱性の修正ですので、早いうちに適用しましょう。

Mozilla Foundationは7月16日、Webブラウザ「Firefox」のバージョン3.5.1を公開した。セキュリティアドバイザリの重要度が"最高"となっていたJavaScriptに関する深刻な脆弱性が修正された。

14日にSecurityFocusにおいて、Firefox 3.5のJIT(Just-in-time) JavaScriptコンパイラが特定の場合に破損状態になる脆弱性が報告された。マルウェアのインストールなどゼロディ攻撃に悪用される可能性があったため、米国時間の14日にMozillaはセキュリティブログを通じて、JITを手動で無効化する一時的な回避方法を公開していた。v3.5.1へのアップデートにより、このJITの問題が解決する。

最新版ではまた、一部のWindowsシステムで起動に時間がかかる問題を解決、安定性に関するいくつかの修正が行われた。

Firefox 3.5.1は、Windows、Mac OS X、Linuxなどに対応。Mozilla JapanのWebサイトからダウンロードできるほか、旧バージョンをインストールしている場合は自動更新を通じてアップデートできる。

リリースされたばかりですが、早速脆弱性が発見されたそうです。パッチはまだ公開されていませんのでしばし注意が必要。

 Firefoxブラウザ最新版の3.5に、未解決の深刻な脆弱性があることが分かった。開発元のMozillaやUS-CERTは概略を公表し、パッチが公開までに回避策を取るよう呼び掛けている。

 Mozillaのセキュリティブログなどによると、脆弱性はFirefox 3.5のJust-in-time(JIT) JavaScriptコンパイラに存在する。この脆弱性を突く悪用コードを仕込んだWebページをユーザーが閲覧すると、攻撃者が任意のコードを実行できる可能性がある。US-CERTによれば、この問題を突いたエクスプロイトコードが既に出回っているという。

 Mozillaは当面の回避策として、JavaScriptエンジンのJITを無効にする方法を紹介している。ただしこの措置を取るとJavaScriptのパフォーマンスが低下するため、脆弱性の修正パッチが公開されたら設定を元に戻すことが望ましい。これとは別に、セーフモードでFirefoxを実行する方法もあるという。

Firefox3.5のリリース日が7月1日に決まったらしい。明日じゃん!

 Firefox 3.5はプライベートブラウジングモードや位置情報通知機能といった新機能を備えるほか、HTML5のvideoタグとaudioタグ、CSS3のダウンロードフォント(Web Font)などに対応する。

使っているPC全部の環境を合わせるって面倒だからこういうのは歓迎。Firefoxだけじゃなく、他のものも是非ともやってもらいたい。MS Officeのツールバーとかには必須機能だと思う。

 Mozilla Labsは6月27日、WebブラウザFirefoxで機能する同期サービス「Weave 0.4.0」をリリースした。Firefox 3.5 β以降に対応。Mozilla Labsのサイトからダウンロードできる。

 複数のPCやスマートフォンで同じ環境のFirefoxを利用できるようにする機能「Weave Sync」で同期できる項目は従来、ブックマーク、履歴、パスワード、開いたタブの状態だけだったが、これにスキンアドオン「Persona」を含むFirefoxの設定が追加された。また自動ログイン機能が追加され、OpenIDに対応した。Nokia N810版の「Fennec 1.0 Beta 2 for Maemo」に対応し、Weaveを使ったアドオンのサポートを強化したほか、起動とウィンドウを開く際のスピードが速くなった。

ウェブページ

Powered by Movable Type 7.8.2

このアーカイブについて

このページには、過去に書かれたブログ記事のうちfirefoxカテゴリに属しているものが含まれています。

前のカテゴリはbrowserです。

次のカテゴリはgoogleです。

最近のコンテンツはインデックスページで見られます。過去に書かれたものはアーカイブのページで見られます。