モジラは29日、Webブラウザ「Firefox」の最新版「50.0.1」を公開した。対象となるのは、Windows、Mac、およびLinux。4段階評価で最も高い重要度「最高」の脆弱性1件が修正されている。
修正された脆弱性は、dataスキームで同一オリジンポリシー違反が発生するおそれがあるというもの。dataスキームは、URLの先頭にある「http」などのリソースへのアクセス手段を示す部分のこと。dataスキームは「data」で始まるスキームで、その後にリソースの中身そのものを直接記述できる。
同一オリジンポリシーは、このスキームとホスト名、ポート番号が同一のリソース間しかアクセスできないように制限する仕組みのこと。この制限により、閲覧中のサイトが勝手に別のサイトを操作したり、データを取得したりするのを防いでいる。修正された脆弱性は、dataスキームを使うと誤ったオリジンを割り当てることができてしまうというもので、悪用されると、この制限を超えてアクセスされてしまうおそれがある。
Firefoxの最新版は自動更新機能を通じて配布されているほか、今すぐ手動で更新することも可能だ。
Windows版の手動更新は、メニューボタン「≡」をクリック→下段のヘルプボタン「?」をクリック→表示された[ヘルプ]メニューの[Firefoxについて]を選択する。または、[Alt]キーを押してメニューバーを表示し、[ヘルプ]メニューの[Firefoxについて]を選択する。Mac OSおよびOS X版では、Firefoxメニューの[Firefoxについて]を選択する。
自動や手動で更新した最新版は、ブラウザの再起動後に利用できるようになるので、ブラウザを起動したままでいる方は注意されたい。
(2016/11/29 ネットセキュリティニュース)
【関連URL:モジラ】
<Firefox 50.0.1>
・リリースノート
https://www.mozilla.jp/firefox/50.0.1/releasenotes/
・セキュリティアドバイザリ
http://www.mozilla-japan.org/security/announce/2016/mfsa2016-91.html