モジラは5日、Webブラウザ「Firefox」の最新版「57.0.4」を公開した。対象となるのは、Windows、Mac、Linux、およびAndroid。最新版では、CPUに起因する情報漏えい問題の緩和策が盛り込まれている。
この問題は、「Meltdown & Spectre(メルトダウンとスペクタ)」という名で今月4日、3件の脆弱性情報が公開されたもの。いずれも、CPUの設計に起因する問題で、悪用されると、保護されているはずのシステムや他のアプリケーションのメモリー内容を、間接的に読み出せる可能性がある。
影響するのは、処理の結果を待たずに次の処理を実行する、投機的実行機能を持つCPU全般。脆弱性を悪用した攻撃は今のところ確認されていないが、ブラウザのJavaScriptを使った攻撃も想定され、ブラウザ側での対応も進められている。
脆弱性を悪用した攻撃には、精密な時間の計測が必要となるため、Firefox 57.0.4では、タイマーの無効化や精度の劣化、高解像度タイマーの代替になるSharedArrayBufferの無効化といった、EdgeやInternet Explorerと同様の措置がとられている。4段階評価の深刻度は、上から2番目に高い「高」。
デスクトップ用の最新版は、自動更新機能を通じて配布されているほか、今すぐ手動で更新することもできる。手動更新は、Windowsではメニューボタン「≡」をクリックし、[ヘルプ]→[Firefoxについて]を選択する。または、[Alt]キーを押してメニューバーを表示し、[ヘルプ]メニューの[Firefoxについて]を選択する。OS Xでは、Firefoxメニューの[Firefoxについて]を選択する。
自動や手動で更新したデスクトップ版のFirefoxは、ブラウザの再起動後に最新版が利用できるようになるので、ブラウザを起動したままでいる方は注意されたい。
Android用の最新版は、「Google Play」で配信されている。アプリの自動更新が有効に設定されている場合には、自動的に更新されるほか、「Google Play」の「マイアプリ&ゲーム」で「アップデート」を表示すると、手動で更新できる。
(2018/01/05ネットセキュリティニュース )
【関連URL】
<モジラ>
・Firefox 57.0.4 リリースノート(デスクトップ版)
https://www.mozilla.jp/firefox/57.0.4/releasenotes/
・Firefox 57.0.4 リリースノート(Android版)
https://www.mozilla.org/en-US/firefox/android/57.0.4/releasenotes/
・Speculative execution side-channel attack ("Spectre")[英文]
https://www.mozilla.org/en-US/security/advisories/mfsa2018-01/
<その他>
・VNVU#93823979:投機的実行機能を持つ CPU に対するサイドチャネル攻撃(JVN)
http://jvn.jp/vu/JVNVU93823979/
・Meltdown and Spectre[英文](キャンペーンサイト)
https://meltdownattack.com/
・Mitigating speculative execution side-channel attacks in Microsoft Edge and Internet Explorer[英文](マイクロソフト)
https://blogs.windows.com/msedgedev/2018/01/03/speculative-execution-mitigations-microsoft-edge-internet-explorer/