サプライチェーン攻撃への対策強化＆Microsoft Storeに登場などのアップデートが盛り込まれた「Firefox 95」正式版リリース

ウェブブラウザ「Firefox 95」の正式版が公開されました。WindowsのMicrosoft StoreにFirefoxが登場したほか、Firefoxで採用されているライブラリに脆弱(ぜいじゃく)性を仕込まれるサプライチェーン攻撃への対策として新たに「RLBox」という技術が採用されています。

Firefox 95.0, See All New Features, Updates and Fixes
https://www.mozilla.org/en-US/firefox/95.0/releasenotes/

◆macOSでムービー再生時のバッテリー消費量を軽減
特にフルスクリーンで再生している場合において、NetflixやAmazonプライム・ビデオなど、ムービーをソフトウェアデコードする時のエネルギー消費量が軽減されました。

◆Microsoft StoreにFirefoxが登場
Windows 10およびWindows 11のMicrosoft StoreにFirefoxが登場し、簡単にインストール可能になりました。

◆新たなセキュリティ技術「RLBox」が採用される
ブラウザ内のコンテンツを実行する際には、独自のサンドボックス化されたプロセスを利用することで、脆弱性があった場合の影響を最小限に食い止めるようになっています。さらに近年においては、各サイトごとにプロセスを分離することでさらに影響範囲を小さくするアップデートが重ねられてきましたが、一方で、Firefoxで利用されているサードパーティー製のライブラリに脆弱性があった場合の対策は限定的なものになっていました。サイトの分離と同様に、コードのコンポーネントごとにプロセスを分ける手法を採用すると、実行が非同期になることでパフォーマンスが悪化したり、メモリの使用量が増加するなどの欠点があり、プロセス分離アプローチはオーディオ処理やムービー処理など、ある程度大きなコンポーネントでしか採用されてきませんでした。

Firefox 95で採用されたRLBoxでは、上記の対策ではカバーできていなかったサードパーティーライブラリの脆弱性の影響を最小限に食い止めることが可能になります。コードを別プロセスで実行する代わりに一度WebAssemblyにコンパイルし、そのあとでネイティブコードにコンパイルするという手順を踏むことで、プログラムの別の部分へのジャンプや領域外のメモリへのアクセスを防止でき、安全にアドレス空間を共有可能になるとのこと。

◆ピクチャーインピクチャーのボタンを反対側へ移動可能に
ムービーに表示される「ピクチャーインピクチャーで観る」ボタンを左側に移動できるようになりました。ボタンを右クリックするとメニューが表示されるので、「ピクチャーインピクチャーの切り替えボタンを左側に移動」をクリックすればOKです。

◆サイト分離がすべてのユーザーで有効に
Spectreなどのサイドチャネル攻撃を防ぐための防御手段として、サイト分離がすべてのユーザーで有効になりました。

◆開発者向けのアップデート
・「inputmode」がすべてのプラットフォームでサポートされる

・「Crypto.randomUUID()」関数が実装
36文字の固定長UUIDが生成されます。

また、Firefox 95には数多くのセキュリティフィックスも含まれています。

なお、次期メジャー版となるFirefox 96は現地時間の2022年1月11日にリリース予定です。