米Mozillaは、4月16日(現地時間)にFirefoxの新バージョンとなるWebブラウザ「Firefox 125.0.1」をリリースした。本来ならば、バージョン125となるのだが.0.1がついており、内部的にバージョンアップが行われたと推察される。Firefox 125.0.1は、Firefox 124からいつもと同じ4週間でのバージョンアップとなった。Firefox 124では、2024年3月22日にマイナーバージョンアップの124.0.1が、2024年4月2日にマイナーバージョンアップの124.0.2がリリースされている。

124.0.1では、以下のセキュリティ修正が行われた。

  • 範囲分析バイパスによって、JavaScriptオブジェクトが範囲外へのアクセス
  • 特権オブジェクトにイベントハンドラを挿入することで、親プロセスで任意のJavaScriptを実行可能に

いずれも、セキュリティレベルは最高レベルの「Critical」である。

124.0.2では、以下の修正が行われた。

  • 大量のブックマークを持つユーザーがブックマークのバックアップを復元できない問題の修正
  • Netflixなどでビデオ再生中に、開いているFirefoxウィンドウが空白になったりクラッシュしたりする問題の修正
  • Linux版:AArch64ビルドでクラッシュする問題の修正
  • Ubuntu 24.04のデフォルトのAppArmor構成に加えられた変更によって、一部の環境でWebページの読み込みに支障をきたす問題の修正

セキュリティアップデートは行われなかった。今回は、124.0.2からのアップデートとなる。

Firefox 125のインストール

すでに自動アップデートが可能な状況になっているが、ここでは手動でアップデートする方法を説明したい。Firefoxメニューの[ヘルプ]→[Firefoxについて]を開くと更新が自動的に開始される。[再起動してFirefoxを更新]をクリックする(図1)。

  • 図1 Firefox 125へのアップデート

    図1 Firefox 125へのアップデート

アップデート後のFirefox 125は、図2のようになる。

  • 図2 バージョン125にアップデート直後のFirefox

新規に、Firefox 125をインストールする場合、FirefoxのWebページからインストーラをダウンロードする(図3)。

  • 図3 Firefoxのダウンロードページ

[Firefoxをダウンロード]をクリックし、保存したファイルをダブルクリックして、インストールを開始する(図4)。

  • 図4 Firefox 125のインストール

画面の指示に従い、インストールを進めてほしい。以下では、新機能のいくつかを具体的に見ていこう。

Firefox 125の新機能

続いて、新機能であるが、以下のとおりである。

  • EME(Encrypted Media Extensions:暗号化メディア拡張機能)において、AV1コーデックをサポート。結果、動画ストリーミングプロバイダからのより高品質な再生が可能に
  • Firefox PDFビューアがテキストの強調表示をサポート
  • 図5 テキストの強調表示(リリースノートより引用)

ただし、この機能は段階的ロールアウトで提供される。早期の問題修正を行うべく段階的に機能適用が拡大される。現状、この機能を利用できる環境は限られるであろう。

  • Firefox Viewでは、[開いているタブ]セクションにピン留めされたタブが表示されるように。さらに、開いているタブにもタブインジケーターが追加された。結果、どのタブがメディアを再生しているか、ウィンドウ間ですばやくミュートまたはミュート解除をすることが可能となる
  • 図6 ピン留めされたタブが表示

  • 米国とカナダのユーザー向けに、住所フォームを送信する際に住所を保存するよう求める機能が追加。今後、住所情報の自動入力が可能に
  • 信頼できない可能性があると考えられるURLからのダウンロードをより積極的にブロックするように
  • URLペースト機能が追加。クリップボードにURLが含まれており、URLバーにフォーカスがあると、オートコンプリートの結果が自動的に表示。クリップボードからの提案を有効にすると、ユーザーは1クリックでURLに移動する
  • 図7 URLペースト機能

  • タブに関するコンテナアドオンを使用している場合、アドレスバーで、別のコンテナで開かれているタブを検索できるように
  • システムプロキシ設定を使用するように構成されている場合に、Webプロキシ自動検出 (WPAD)を有効にするオプションが提供

地味ながら、重要なアップデートが行われた。

セキュリティアップデート

同時に行われたセキュリティアップデートであるが、修正された脆弱性はCVE番号ベースで15件である。深刻度の内訳は、4段階で上から2番目の「High」が9件、4段階で上から3番目の「Moderate」が5件、4段階で上から4番目の「Low」が1件となっている。

「High」では、

  • JITのGetBoundNameが間違ったオブジェクトを返す
  • レルムの初期化中にガベージコレクションが実行されるとメモリ解放後使用が発生
  • switchステートメントの最適化を失敗した後の範囲外読み取り
  • MSubstrの不適切なJIT最適化により範囲外読み取りの発生
  • WASMガベージコレクションでのメモリ解放後使用
  • JITで引数の不適切な使用により、ガベージコレクション中にメモリ解放後使用が発生
  • js::CheckTracedThing<js::Shape> での破損したポインタの逆参照
  • Firefox 125、Firefox ESR 115.10、Thunderbird 115.10で修正されたメモリ安全性の問題
  • Firefox 125で修正されたメモリ安全性の問題

などが対応された。すみやかなアップデートをすべきであろう。