米Mozillaは、10月5日(現地時間)にFirefoxの新バージョンとなるWebブラウザ「Firefox 93」をリリースした。Firefox 92から4週間でのバージョンアップである。途中、9月23日にマイナーバージョンアップの92.0.1がリリースされている。92.0.1では、以下の修正が行われた。

  • Linux版では、いくつかのシステムで音声再生が機能しない問題の修正
  • ページ内での検索バーの閉じるボタンが表示されない問題の修正

92.0.1では、セキュリティアップデートは行われなかった。したがって、今回のバージョンアップは、92.0.1からとなる。

Firefox 93のインストール

すでに自動アップデートが可能な状況になっているが、ここでは手動でアップデートする方法を説明したい。Firefoxメニューの[ヘルプ]→[Firefoxについて]を開くと更新が自動的に開始される。[再起動してFirefoxを更新]をクリックする(図1)。

  • Firefox 93へのアップデート

    図1 Firefox 93へのアップデート

アップデート後のFirefox 93は、図2のようになる。

  • 図2 バージョン93にアップデート直後のFirefox

新規に、Firefox 93をインストールする場合、FirefoxのWebページからインストーラをダウンロードする(図3)。

  • 図3 Firefoxのダウンロードページ

[今すぐダウンロード]をクリックし、保存したファイルをダブルクリックして、インストールを開始する(図4)。

  • 図4 Firefox 93のインストール

画面の指示に従い、インストールを進めてほしい。以下では、新機能や変更点のいくつかを具体的に見ていこう。

Firefox 93の新機能

続いて、新機能であるが、今回のリリースでは、以下の新機能の追加が行われた。

  • 最新のロイヤリティフリーのAV1ビデオコーデックに基づくAVIF画像形式をサポート。既存の画像形式と比較して、Webサイトとの帯域幅を大幅に節約できる。また、透過、その他の高度な機能もサポート。
  • PDFビューアは、より多くのフォーム(XFAベースのフォーム:いくつかの政府や銀行で使用されている)の入力をサポート。
  • 使用可能なシステムメモリが非常に少ない場合、Windows上のFirefoxは、最終アクセス時間、メモリ使用量、およびその他の属性に基づいてタブを自動的にアンロードする。結果、Firefoxがメモリ不足によるクラッシュを減らす。アンロードされたタブに切り替えると、自動的にリロードされる。
  • macOSで、.dmgファイルをマウントして、Firefoxを実行しているユーザーのセッションが失われるのを防ぐために、インストールを終了を要求するようになった。この許可プロンプトは、該当するユーザーがみずからのコンピュータでFirefoxを初めて実行したときにのみ表示される。
  • 安全でない接続からのダウンロードをブロックし、悪意のあるダウンロードや安全でない場所からのダウンロードから保護する。
  • SmartBlock 3.0を搭載。プライバシー保護のためにより改善されたWeb互換性を実装。
  • 新しいHTTPリファラー保護を導入。厳格な追跡保護とプライベートブラウジングに対応する。

いくつかの新機能について、見ていきたい。安全でない接続からのダウンロードをブロックする機能であるが、以下の2つが該当する。

  • HTTPSサイトからHTTP経由でリンクされたファイルのダウンロード
  • iframeにallow-downloads属性が明示的に付けられていない限り、サンドボックス化されたiframeでのダウンロード

  • 図5 安全でない接続からのダウンロードをブロック

SmartBlockであるが、Firefox 87でSmartBlock 1.0、Firefox 90でSmartBlock 2.0が搭載されている。主な機能は、追跡スクリプトをブロックすることだ。今回の3.0では、Google Analyticsスクリプト、Optimizely、Criteo、Amazon TAM、さまざまなGoogle広告スクリプトを自動的にブロックする。

HTTPリファラーヘッダーには、Webサイトのサーバーに参照元の情報が含まれる。ブラウザが行うナビゲーションやサブリソース要求に含まれ、分析、ロギング、キャッシュの最適化のためにWebサイトで頻繁に使用される。しかし、一部のWebサイトでは、リファラーヘッダーでの言及を避けたい場合もある。

この問題の対策としてリファラーポリシーが導入された。Webサイトがリファラーヘッダーの値を制御できるため、ユーザーに対してより強力なプライバシー設定を確立できる。Firefox 87では、リファラーURLの最も機密性の高い部分を、別のWebサイトと共有されると、自動的にトリミングした。これにより、Webサイトが個人情報をトラッカーに漏らすことを防ぐことができるようになった。

一方、Webサイト側では、導入されたリファラーのデフォルトのトリミングをオーバーライドできるため、この保護を無効にし、完全なURLを送信できてしまう。つまり、緩いリファラーポリシーを選択することで、追跡などプライバシー問題が残ってしまう。

Firefox 93の新しいHTTPリファラー保護では、no-referrer-when-downgrade、origin-when-cross-origin、unsafe-urlなど、クロスサイトリクエストに対する制限の少ないリファラーポリシーを無視する。このようなプライバシー違反は無効となる。結果、Firefoxは、Webサイトの設定に関係なく、クロスサイトリクエストのHTTPリファラーをつねにトリミングすることになる。

セキュリティアップデート

同時に行われたセキュリティアップデートであるが、修正された脆弱性はCVE番号ベース で7件である。深刻度の内訳は、4段階で上から2番目の「High」が4件、上から3番目の「Moderate」が3件となっている。

「High」では、

  • MessageTaskでのメモリ解放後使用
  • Firefox 93、Firefox ESR 78.15、Firefox ESR 91.2で修正されたメモリ安全性の問題
  • Firefox 93とFirefox ESR 91.2で修正されたメモリ安全性の問題
  • Firefox 93で修正されたメモリ安全性の問題

などが対応された。最高レベルの「Critical」はないが、早めのアップデートをすべきであろう。