セキュリティアップデート
今回のバージョンアップでは、以下のセキュリティアップデートが行われた。
- OS X 10.10上のApple CoreGraphicsフレームワークによって入力データが/tmpディレクトリへ記録される[高]
- BasicThebesLayerからBasicContainerLayerへの問題あるキャスト[高]
- メディアコンテンツ解析中のバッファオーバーフロー[最高]
- HTML5解析中の解放後使用[最高]
- CSP違反報告を通じたリダイレクトデータの漏えい[高]
- 一部の入力ストリームによるXMLHttpRequestのクラッシュ[中]
- 不正なCSS宣言を通じたXBLバインディングへのアクセス[中]
- さまざまなメモリ安全性の問題(rv:34.0/rv:31.3)[最高]
今回は最高レベルが3件で、全部で8件となっている。早めにアップデートしておきたい。
旧バージョンでSSL 3.0を無効にするには
さて、新機能でもふれたように、Firefox 34ではSSL 3.0のサポートが終了した。これは、POODLEと呼ばれる脆弱性に起因する(暗号化通信の内容が解読されてしまう)。SSL 3.0はこれまで長く使用され、現在では後継のTLSに移行しつつある。そのため、サポートを廃止したのは、当然ともいえる。今回のアップデートをしていれば、問題はない。しかし、34未満のバージョンを使い続ける必要があるならば、以下の対策をしてほしい。1つめの方法は、SSL Version Controlアドオンのインストールである。アドオンマネージャで検索を行うと、図8のようになる。
|
図8 アドオンマネージャで検索 |
[インストール]をクリックする。アドオンマネージャの設定メニューを開くと、通信プロトコル選択が可能なので、ここで[TLS 1.2]などを選べばよいだろう(図9)。
|
図9 [TLS 1.2]を選択 |
それ以外には、about:configの[security.tls.version.min]の値を「0」から「1」へ変更するという方法もある(アドオンを使ったほうが、簡単だろう)。前提として、旧バージョンを使い続けることは推奨されない。しかし、何かの事情があって使い続ける場合には、このような対処を行ってほしい。
