セキュリティアップデート
今回のバージョンアップでは、以下のセキュリティアップデートが行われた。
- ページ遷移時のResource Timing API使用を通じた情報漏えい[中]
- 内部エラーページヘのテキスト注入を通じた偽装攻撃[低]
- Android版Firefox上でのRTL文字によるロケーションバー偽装[中]
- ドラッグ&ドロップを通じた情報漏えいとローカルファイル改変[中]
- ローカルHTMLファイルと保存されたショートカットファイルを用いた同一配信元ポリシー違反[中]
- SVG効果適用時の解放後使用[高]
- 表示変換における型混同[高]
- ClearKey Content Decryption Module(CDM)における動画再生中のバッファオーバーフロー[高]
- marqueeタグ上のスクリプトがサンドボックス化されたiframe上で実行可能となっている[中]
- WebSocketsにおけるデータバッファリング中の整数オーバーフロー[高]
- フォームinput typeをpasswordからtextへ変更することで、セッション復元ファイルに平文パスワードが保存されてしまう[中]
- 入れ子になった同期イベントを伴ったサービスワーカーにおける解放後使用[最高]
- WebRTCセッション終了時のDTLSにおける解放後使用[最高]
- JavaScriptの増分ガベージコレクションにおけるクラッシュ[中]
- Altキーとトップレベルメニュー併用時の解放後使用[中]
- Mozillaアップデータとコールバックアプリケーションパス引数を通じたローカルユーザによる任意のファイル改変[中]
- ExpatライブラリにおけるXML解析中の境界外読み取り[中]
- 2次元グラフィックス描画時のスタックアンダーフロー[高]
- 不正なメディアタイプのdata URLを通じたロケーションバーの偽装[低]
- FFmpeg 0.10のメモリ割り当て問題に起因するCairoの描画時クラッシュ[中]
- 双方向コンテンツを含むSVG描画中のバッファオーバーフロー[高]
- ページが閉じられた後もfaviconのネットワーク接続が持続可能となっている[高]
- さまざまなメモリ安全性の問題(rv:48.0/rv:45.3)[最高]
今回は最高レベルが3件だが、全体では23件とかなりの数となる。また、新機能や機能変更された項目も多く、できるだけ速やかにアップデートを行うべきであろう。
