Firefox 72、リリース翌日にゼロデイ脆弱性修正版をリリース

Mozillaは7日にFirefox 72.0をリリースしたが、翌8日にはゼロデイ脆弱性を修正するFirefox 72.0.1をリリースしている(Mozillaのセキュリティアドバイザリー、 Softpediaの記事、 Ars Technicaの記事、 Windows Centralの記事)。

修正された脆弱性CVE-2019-17026はIonMonkey JITコンパイラーにおける誤ったエイリアス情報により型の取り違えが引き起こされるというもので、既にこの脆弱性を狙った攻撃が確認されているという。同じ脆弱性を修正したFirefox ESR 68.4.1も同時にリリースされた。深刻度は最も高い「critical」となっており、迅速なアップデートが望ましい。

Firefox 72では新機能として、フィンガープリンティングを実行するスクリプトがデフォルトでブロックされるようになっており、Webサイトからの通知リクエストポップアップもデフォルトで非表示化される。また、WindowsではFirefox 71から利用できていた動画のピクチャーインピクチャー表示がMacとLinuxでも利用可能になった。ちなみに、Googleも通知リクエストポップアップの非表示化機能をChrome 80に搭載する計画を発表している。

なお、Mozillaはカリフォルニア州消費者プライバシー法(CCPA)の施行に伴い、Firefox 72にテレメトリーデータの削除オプションを追加すると事前に説明していたが、リリースノートには記載されていない。　

スラドのコメントを読む | ITセクション | セキュリティ | Firefox

　関連ストーリー：
Firefox 72、収集したテレメトリーデータを削除するオプション追加へ 2020年01月05日
非常に不人気な「Web Push通知」、Firefox 72以降ではポップアップを表示せずURLバーのアイコンで通知するのみに 2019年11月11日
Mozilla、Firefoxのメジャーリリースサイクルを4週間に短縮する計画 2019年09月18日