米Mozillaは、12月8日(現地時間)にFirefoxの新バージョンとなるWebブラウザ「Firefox 95」をリリースした。Firefox 94から4週間でのバージョンアップである。途中、11月4日にマイナーバージョンアップの94.0.1、11月24日には94.0.2がリリースされている。94.0.1では、以下の不具合の修正が行われた。

  • macOS10.12で、フルスクリーンビデオを表示するとブラウザがハングする問題

セキュリティアップデートは行われなかった。94.0.2では、以下の不具合の修正・変更が行われた。

  • Microsoftストア版のFirefoxをインストールするときに、NVDAなどを使用しているとハングアップする問題
  • Linux版では、WebGLを使用してタブをバックグラウンド処理するときにファイル記述子のリークが原因で発生する不安定性/クラッシュする問題
  • Suggestの設定デザインを更新し、よりわかりやすく

94.0.2では、セキュリティアップデートは行われなかった。したがって、今回のバージョンアップは、94.0.2からとなる。

Firefox 95のインストール

すでに自動アップデートが可能な状況になっているが、ここでは手動でアップデートする方法を説明したい。Firefoxメニューの[ヘルプ]→[Firefoxについて]を開くと更新が自動的に開始される。[再起動してFirefoxを更新]をクリックする(図1)。

  • 「Firefox 95」を試す - 新サンドボックス「RLBox」やサイト分離の実装、セキュリティ機能が向上

    図1 Firefox 95へのアップデート

アップデート後のFirefox 95は、図2のようになる。

  • 図2 バージョン95にアップデート直後のFirefox

新規に、Firefox 95をインストールする場合、FirefoxのWebページからインストーラをダウンロードする(図3)。

  • 図3 Firefoxのダウンロードページ

[今すぐダウンロード]をクリックし、保存したファイルをダブルクリックして、インストールを開始する(図4)。

  • 図4 Firefox 95のインストール

画面の指示に従い、インストールを進めてほしい。以下では、新機能や変更点のいくつかを具体的に見ていこう。

Firefox 95の新機能

続いて、新機能であるが、今回のリリースでは、以下の新機能の追加が行われた。

  • サードパーティライブラリにおける潜在的な脆弱性に対してFirefoxをより安全にする新しいテクノロジーであるRLBoxが、すべてのプラットフォームで有効に
  • Windows10およびWindows11プラットフォームのFirefoxをMicrosoftストアからダウンロード可能に
  • macOSにおいて、イベント処理中のFirefoxおよびWindow ServerのCPU使用率を削減
  • macOSにおいて、フルスクリーン環境で、ソフトウェアデコードされたビデオの電力使用量を削減した。これに該当するのは、NetflixやAmazon Prime Videoなどのストリーミングサイトなど
  • ピクチャーインピクチャー機能において、切り替えボタンの位置を左右に切り替えるコンテキストメニュー[ピクチャーインピクチャーの切り替えボタンを左(右)側に移動]が追加
  • サイドチャネル攻撃のSpectreなどからFirefoxユーザーを保護するために、すべてのFirefox 95ユーザーに対してサイト分離が有効に

修正、変更点は以下の通り。

  • Firefoxを起動した後、JAWSスクリーンリーダーとZoomText拡大鏡を使用すると、Firefoxにアクセスするためにアプリケーションの切り替えが不要に
  • Mac OS VoiceOverにより、ARIAスイッチの役割を使用したコントロールの状態を正しく報告
  • macOSでのコンテンツプロセスの起動が高速に
  • メモリアロケータの改善
  • JavaScriptを事前に投機的にコンパイルすることで、ページの読み込みパフォーマンスを向上
  • Slack.comにユーザーエージェントオーバーライドを追加。これにより、より多くの通話機能やハドルにアクセス可能に

いくつかの新機能を見ていこう。サンドボックスは、通常利用する領域から隔離した保護された空間である。もし、マルウェアなどが実行されても、通常の領域からは隔離されているため、被害を防ぐことができる。しかし、最近のマルウェアでは複数の脆弱性を悪用し、サンドボックスを無効化することもある。

そこで、新サンドボックスのRLBoxでは、コードを別のプロセスに収納するのではなく、ブラウザ向けの高速コードWebAssemblyにコンパイルし、その後、ネイティブコードにコンパイルする。この結果、プログラムが予期しない場所にジャンプしたり、あるいは指定された領域外のメモリにアクセスすることを防ぐ。

カリフォルニア大学サンディエゴ校やテキサス大学と共同開発したもので、独立したプロジェクトである。Mozillaでは、Firefox以外でも実装されることを推奨している。残念ながら、この機能にユーザーが気づくことはないであろう。しかし、より安全性が向上したことはまちがいない。この点は、大いに評価できるであろう。

また、FirefoxがMicrosoftストアからダウンロード可能になった。

  • 図5 MicrosoftストアのFirefox

ストアでは、MSIX形式でパッケージングされており、更新などは自動で行われる。

ピクチャーインピクチャー機能では、切り替えボタンの位置を変更することが可能になった。

  • 図6 ピクチャーインピクチャー機能のコンテキストメニュー

セキュリティアップデート

同時に行われたセキュリティアップデートであるが、修正された脆弱性はCVE番号ベースで13件である。深刻度の内訳は、4段階で上から2番目の「High」が6件、上から3番目の「Moderate」が5件、もっとも低い「Low」が2件となっている。

「High」では、

  • 非同期機能を実行中にナビゲートするとURL漏洩が発生
  • 構造化クローンを使用するとヒープバッファオーバーフローが発生
  • フルスクリーンとポインタロックの両方を要求した場合、通知が届かない
  • wasmインスタンスメソッドを呼び出す際に、GCルート化の失敗
  • macOSにおいて、フルスクリーンオブジェクトでのメモリ解放後使用
  • Firefox 95とFirefox ESR 91.4で修正されたメモリ安全性の問題

などが対応された。最高レベルの「Critical」はないが、早めのアップデートをすべきであろう。