米Mozillaは、10月5日(現地時間)にFirefoxの新バージョンとなるWebブラウザ「Firefox 93」をリリースした。Firefox 92から4週間でのバージョンアップである。途中、9月23日にマイナーバージョンアップの92.0.1がリリースされている。92.0.1では、以下の修正が行われた。
- Linux版では、いくつかのシステムで音声再生が機能しない問題の修正
- ページ内での検索バーの閉じるボタンが表示されない問題の修正
92.0.1では、セキュリティアップデートは行われなかった。したがって、今回のバージョンアップは、92.0.1からとなる。
Firefox 93のインストール
すでに自動アップデートが可能な状況になっているが、ここでは手動でアップデートする方法を説明したい。Firefoxメニューの[ヘルプ]→[Firefoxについて]を開くと更新が自動的に開始される。[再起動してFirefoxを更新]をクリックする(図1)。
アップデート後のFirefox 93は、図2のようになる。
新規に、Firefox 93をインストールする場合、FirefoxのWebページからインストーラをダウンロードする(図3)。
[今すぐダウンロード]をクリックし、保存したファイルをダブルクリックして、インストールを開始する(図4)。
画面の指示に従い、インストールを進めてほしい。以下では、新機能や変更点のいくつかを具体的に見ていこう。
Firefox 93の新機能
続いて、新機能であるが、今回のリリースでは、以下の新機能の追加が行われた。
- 最新のロイヤリティフリーのAV1ビデオコーデックに基づくAVIF画像形式をサポート。既存の画像形式と比較して、Webサイトとの帯域幅を大幅に節約できる。また、透過、その他の高度な機能もサポート。
- PDFビューアは、より多くのフォーム(XFAベースのフォーム:いくつかの政府や銀行で使用されている)の入力をサポート。
- 使用可能なシステムメモリが非常に少ない場合、Windows上のFirefoxは、最終アクセス時間、メモリ使用量、およびその他の属性に基づいてタブを自動的にアンロードする。結果、Firefoxがメモリ不足によるクラッシュを減らす。アンロードされたタブに切り替えると、自動的にリロードされる。
- macOSで、.dmgファイルをマウントして、Firefoxを実行しているユーザーのセッションが失われるのを防ぐために、インストールを終了を要求するようになった。この許可プロンプトは、該当するユーザーがみずからのコンピュータでFirefoxを初めて実行したときにのみ表示される。
- 安全でない接続からのダウンロードをブロックし、悪意のあるダウンロードや安全でない場所からのダウンロードから保護する。
- SmartBlock 3.0を搭載。プライバシー保護のためにより改善されたWeb互換性を実装。
- 新しいHTTPリファラー保護を導入。厳格な追跡保護とプライベートブラウジングに対応する。
いくつかの新機能について、見ていきたい。安全でない接続からのダウンロードをブロックする機能であるが、以下の2つが該当する。
- HTTPSサイトからHTTP経由でリンクされたファイルのダウンロード
- iframeにallow-downloads属性が明示的に付けられていない限り、サンドボックス化されたiframeでのダウンロード
SmartBlockであるが、Firefox 87でSmartBlock 1.0、Firefox 90でSmartBlock 2.0が搭載されている。主な機能は、追跡スクリプトをブロックすることだ。今回の3.0では、Google Analyticsスクリプト、Optimizely、Criteo、Amazon TAM、さまざまなGoogle広告スクリプトを自動的にブロックする。
HTTPリファラーヘッダーには、Webサイトのサーバーに参照元の情報が含まれる。ブラウザが行うナビゲーションやサブリソース要求に含まれ、分析、ロギング、キャッシュの最適化のためにWebサイトで頻繁に使用される。しかし、一部のWebサイトでは、リファラーヘッダーでの言及を避けたい場合もある。
この問題の対策としてリファラーポリシーが導入された。Webサイトがリファラーヘッダーの値を制御できるため、ユーザーに対してより強力なプライバシー設定を確立できる。Firefox 87では、リファラーURLの最も機密性の高い部分を、別のWebサイトと共有されると、自動的にトリミングした。これにより、Webサイトが個人情報をトラッカーに漏らすことを防ぐことができるようになった。
一方、Webサイト側では、導入されたリファラーのデフォルトのトリミングをオーバーライドできるため、この保護を無効にし、完全なURLを送信できてしまう。つまり、緩いリファラーポリシーを選択することで、追跡などプライバシー問題が残ってしまう。
Firefox 93の新しいHTTPリファラー保護では、no-referrer-when-downgrade、origin-when-cross-origin、unsafe-urlなど、クロスサイトリクエストに対する制限の少ないリファラーポリシーを無視する。このようなプライバシー違反は無効となる。結果、Firefoxは、Webサイトの設定に関係なく、クロスサイトリクエストのHTTPリファラーをつねにトリミングすることになる。
セキュリティアップデート
同時に行われたセキュリティアップデートであるが、修正された脆弱性はCVE番号ベース で7件である。深刻度の内訳は、4段階で上から2番目の「High」が4件、上から3番目の「Moderate」が3件となっている。
「High」では、
- MessageTaskでのメモリ解放後使用
- Firefox 93、Firefox ESR 78.15、Firefox ESR 91.2で修正されたメモリ安全性の問題
- Firefox 93とFirefox ESR 91.2で修正されたメモリ安全性の問題
- Firefox 93で修正されたメモリ安全性の問題
などが対応された。最高レベルの「Critical」はないが、早めのアップデートをすべきであろう。