米Mozillaは、8月10日(現地時間)にFirefoxの新バージョンとなるWebブラウザ「Firefox 91」をリリースした。Firefox 90から4週間でのバージョンアップである。途中、7月19日にマイナーバージョンアップの90.0.1、7月22日には90.0.2がリリースされている。90.0.1では、以下の修正が行われた。
- Windowsで一部のアクセシビリティクライアントを使用するとクラッシュする問題の修正
- 一部のHTTP3レスポンスを処理するビジーループを修正
- 一部のスマートカードで認証時に一時的なエラーが起きる問題の修正
- シャットダウン時にまれにクラッシュする問題を修正
- アップグレード後の起動時の競合において、about:supportが空になる問題の修正
90.0.1では、セキュリティアップデートは行われなかった。90.0.2では、以下の修正のみが行われた。
- 印刷時に出力が欠ける問題を修正
- 一部のGTKテーマのメニュースタイルを修正
また、カナダにおいて、DNS over HTTPS(DoH)がサポートされるようになった。90.0.2では、セキュリティアップデートは行われなかった。したがって、今回のバージョンアップは、90.0.2からとなる。
Firefox 91のインストール
すでに自動アップデートが可能な状況になっているが、ここでは手動でアップデートする方法を説明したい。Firefoxメニューの[ヘルプ]→[Firefoxについて]を開くと更新が自動的に開始される。[再起動してFirefoxを更新]をクリックする(図1)。
アップデート後のFirefox 91は、図2のようになる。
新規に、Firefox 91をインストールする場合、FirefoxのWebページからインストーラをダウンロードする(図3)。
[今すぐダウンロード]をクリックし、保存したファイルをダブルクリックして、インストールを開始する(図4)。
画面の指示に従い、インストールを進めてほしい。以下では、新機能や変更点のいくつかを具体的に見ていこう。
Firefox 91の新機能
続いて、新機能であるが、今回のリリースでは、以下の新機能の追加が行われた。
- Total Cookie Protectionに基づき、Cookieをクリアするためのより統合的な仕組み(Enhanced Cookie Clearing)が追加された。この機能により、隠されたデータの漏洩を防ぎ、ユーザー自身でローカル情報を保存しているWebサイトを簡単に把握できるようになる。
- Windowsのシングルサインオンを利用したMicrosoft、職場、および学校のアカウントへログインをサポート。
- 印刷機能に[ページを単純化]が復活。装飾などを削除し、すっきりとしたページで印刷可能に。
- HTTPS-First Policy:プライベートブラウジングでは、Webサイトへのすべての接続を安全にしようとする(httpsで接続)。もし、Webサイトがhttpsをサポートしていない場合にのみhttpで接続する。
- スコットランド語(sco)ロケールを追加。
- プライベートブラウジングウィンドウでも、アドレスバーに[タブに切り替える]の結果を表示するように。
- MacOSで[コントラストを上げる]にチェックがある場合、Firefoxは自動的にハイコントラストモードを有効にするように。
- ほとんどのユーザーインタラクションに対してキャッチアップペイントを実行し、ユーザーインタラクションの応答時間を10~20%改善。
まず、Total Cookie Protectionであるが、Firefox 86で導入された機能である。それぞれのWebサイトごとに、Cookieなどの履歴情報をcookie jarに保存するようになった。結果として、クロスサイトでのトラッキングを困難にしている。
Enhanced Cookie Clearing(強化されたCookieの削除)では、Total Cookie Protectionをさらに発展させ、より厳格なCookie削除を行う。具体的に説明すると、Webサイトの多くには、Facebookのいいねボタンなど、他のWebサイトのコンテンツが埋め込んであることがある。これまでのFirefoxでは、このような別のWebサイトで読み込まれたコンテンツは「閲覧中のサイトとは別のサイト」として扱われていた。したがって、現在、閲覧中のWebサイトのCookieを削除しても、他のWebサイトのコンテンツ(いいねボタンなど)のCookieなどは残ってしまう。つまり、ユーザーが特定のサイトからのトラッキングを拒否しようとCookieを削除しても、トラッカーは別のWebサイトの扱いとなりトラッキングができてしまう。
Enhanced Cookie Clearingでは、facebook.comのいいねボタンを含め、残っている履歴データのすべてを削除する。Cookieやローカルストレージ(localStorage)以外にも、Webサイトの設定やHTTPキャッシュのようなキャッシュデータもまとめて削除するため、Webサイトの痕跡を簡単にFirefoxから消去できる。 この機能を有効にするには、強化型トラッキング防止機能を[厳格]モードにする必要がある。
また、Firefox 91では、Webサイトごとにcookie jarに保存されたCookieの総数を表示する。[プライバシーとセキュリティ]の[Cookie とサイトデータ]→[データを管理]からCookieとサイトデータを管理を表示する。
図6からもCookieの削除は可能であるが、バーガーボタンの[履歴]から各Webサイトを選び、メニューの[このサイトの履歴を消去]からも行うことができる。
復活した印刷機能の[ページを単純化]であるが、図8のように[元のページ]では、表示されたWebページに近い形で印刷される。
メニューにある[ページを単純化]を選択すると、図9のようになる。
まさに、単純化されていることがわかる。
セキュリティアップデート
同時に行われたセキュリティアップデートであるが、修正された脆弱性はCVE番号ベース で12件である。深刻度の内訳は、4段階で上から2番目の「High」が8件、上から3番目の「Moderate」が2件、もっとも低い「Low」が1件となっている。
「High」では、
- DNS名を解決する際の競合により、メモリ破損につながる危険性
- Live範囲の分割により、JITでの割り当てが競合する危険性
- 誤ったスタイル処理の結果、メモリ破損
- Android版Firefoxで、フルスクリーンモードでスタックする危険性
- JIT最適化中における誤った命令の並べ替え
- キャンバスオブジェクトの初期化されていないメモリにおいて、メモリ破損につながる危険性
- Firefox 91とFirefox ESR 78.13で修正されたメモリ安全性の問題
- Firefox 91で修正されたメモリ安全性の問題
となっている。最高レベルの「Critical」はないが、早めのアップデートをすべきであろう。
また、Firefox 91をベースとした法人向け延長サポート版Firefox 91.0 ESRもリリースされた。問題がないようであれば、Firefox 78 ESRから移行すべきであろう。