ニュース

「Firefox 88」が安定版に ~ウィンドウ名を介したプライバシー侵害にも対処

FTPサポートは無効化、「Firefox 90」で完全削除へ

「Firefox」v88.0

 Mozillaは4月19日(米国時間)、デスクトップ向け「Firefox」の最新版「Firefox 88」を正式公開した。「Firefox 88」ではPDFファイルに埋め込まれたJavaScriptがサポートされ、入力が正しいかどうかを検証する処理など、スクリプトで実現されていた機能が「Firefox」のPDFフォームで利用できるようになった。

 さらに、“window.name”プロパティを悪用したプライバシー侵害を防止する機能が搭載された。“window.name”はJavaScriptでウィンドウの名前を取得・設定するためのプロパティだが、ユーザーの個人情報をクロスオリジン(ドメインをまたいで)受け渡しするのに利用されることがあったという。

“window.name”プロパティを介したプライバシー侵害

 「Firefox 88」では他のWebサイトへ移動(クロスオリジンナビゲーション)する際、“window.name”プロパティをクリアすることでこの問題を解決している。開発チームによると、プロパティが適切に運用されているケースで妨げにならないよう、元のWebサイトに戻ったときはウィンドウを元の名前に戻すなどの対応もとっているとのこと。

クロスオリジンナビゲーションの際に“window.name”プロパティをクリア

 今回導入された“window.name”プロパティをクリアする措置は、すでに「Safari」で導入されている。「Google Chrome」でも採用が検討されているとのことで、今後の標準となりそうだ。

 そのほかの変更は、比較的軽微。印刷の余白の単位がローカライズされるようになったほか、タッチパッドを使ったスムーズなピンチズームがLinuxで利用できるようになった。また、アドレスバー右端の[…]メニュー(ページアクション)に用意されていたスクリーンショット機能は削除され、Webページの右クリックメニューから利用するように改められた。ツールバーから利用する方を好む場合は、「Firefox」のカスタマイズ機能でスクリーンショットツールをツールバーに配置すればよいだろう。

スクリーンショット機能はWebページの右クリックメニューから利用するように

 なお、本バージョンではCVE番号ベースで13件の脆弱性修正も行われているので注意。深刻度の内訳はMozillaの基準で上から2番目の“High”が5件、上から3番目の“Moderate”が6件、もっとも低い“low”が2件。任意コードの実行につながる可能性のある欠陥も含まれており、できるだけ早いアップデートが望ましい。

 また、本バージョンよりFTPサポートが無効化される。「Firefox 90」では実装そのものが削除される予定なので、この機能を利用しているユーザーは心しておくべきだろう。

 デスクトップ版「Firefox」はWindows/Mac/Linuxなどに対応する寄付歓迎のフリーソフトで、現在MozillaのWebサイトからダウンロード可能。Windows版はWindows 7/8/10に対応しており、窓の杜ライブラリからもダウンロードできる。すでに利用している場合は自動で更新されるが、画面右上のメインメニュー(横3本線アイコン)から[ヘルプ]-[Firefox について]へアクセスし、バージョン情報ダイアログを開いて手動でアップデートしてもよい。