ネットソリューション部 担当部長
最近,ある企業のシステム管理者から『Firefoxの最新バージョン「Firefox 3.5」がリリースされた。システム管理者として,従来の「Firefox 3」と最新版の「Firefox 3.5」のどちらを使用させるべきかの方針をアドバイスしてほしい』との相談を受けました。
2009年7月1日,米MozillaはオープンソースWebブラウザの最新版「Firefox 3.5」を,日本語版も含めてリリースしました。従来の最新バージョンは「Firefox 3.0.11」であり,その次期バージョンは「Firefox 3.1」になる予定でしたが,新機能や変更点が多いことから急遽ベータ版の段階で「Firefox 3.5」に変更(マイナーバージョンアップの扱いからメジャーバージョンアップの扱いに変更)されました。
[関連記事]
「Firefox 3.5」のWindowsでの動作環境は,Windows Vista,Windows 2000/XP/Server 2003になります(詳細は,こちらを参照)。
一方,Internet Explorerの最新バージョン「Internet Explorer 8」(IE 8)のWindowsでの動作環境は,Windows Vista/Server 2008およびWindows XP SP2以降,Windows Server 2003 SP2以降となります(詳細は,こちらを参照)。
Firefox 3.5の動作環境にはWindows Server 2008が含まれていませんが,IE 8が既にサポート対象から外しているWindows 2000もきちんとサポートしていることは評価できる点でしょう。
Firefox 3.5の特徴は,「パフォーマンスの向上」,「セキュリティの向上」,「最新技術への対応」の3点です(Firefox 3.5の新機能や改良点は,Firefox機能概要に記載されています)。「パフォーマンスの向上」に関しては,JavaScriptエンジンに「TraceMonkey」(トレースモンキー)が搭載され,そのパフォーマンスは,Firefox 3の2倍以上,Firefox 2の10倍以上になったとされています。「セキュリティの向上」に関しては,閲覧したサイトの履歴が一切残らない“プライベートブラウジング”などが新機能として加えられていますし,Firefox 3と比較してマルウエア対策も改良されています。
「最新技術への対応」に関しては,Webの各種技術の標準化団体であるW3Cが策定中のWeb技術標準“HTML 5”のサポートが挙げられます。厳密には部分的な対応ですが,audio および videoタグをサポートし,追加のプラグインがなくてもオープンなOgg Theora(オッグ セオラ)形式の動画,Ogg Vorbis(オッグ ボルビス)形式の音声を再生できるようになりました。自分が今いる場所をWebサイトに通知可能な“ロケーションアウェアブラウジング”なども挙げられるでしょう。
[関連記事]
ただシステム管理者が一番気にしなければならないのは,最新バージョンの新機能ではありません。以前のコラム『セキュリティ上の観点で「Firefox 2」と最新版の「Firefox 3」のどちらを使用させるのか? 』に書いたのと同様に,
(1)最新バージョンに,既知のセキュリティ・ホールは残っていないのか?
(2)最新バージョンの導入時の注意事項は無いのか?
(3)従来バージョンは,いつ使用できなくなるのか?
といった点を見極める必要があります。
まず,「(1)最新バージョンに,既知のセキュリティ・ホールは残っていないのか?」をチェックしてみましょう。
Mozilla Japanが公開するセキュリティ情報リストのWebページである「Mozilla 製品における既知の脆弱性」をチェックしてみます。ここでは,従来製品の「Firefox 3.0 セキュリティアドバイザリ」はありますが,Firefox 3.5向けのものはリストすら存在していません。「Mozilla Foundation セキュリティアドバイザリ」をチェックしてみても同様です。
ところが7月14日,Mozilla Security Blogにおいて「Critical JavaScript vulnerability in Firefox 3.5」という未解決のセキュリティ・ホールの存在が公開されました。エントリーの内容によると,JavaScriptコンパイラにセキュリティ・ホールが存在するため,悪意のあるコードをリモートから実行される可能性があるようです。
回避方法は以下のように説明されています(分かりやすいように,一部説明を加えています)。
- 「Firefox 3.5」のURLを入力するlocationバーに「about:config」と入力し,Enterキーを押下します。
- 『動作保証対象外になります!』という警告画面の「細心の注意を払って使用する」という表示をクリックし,詳細設定画面を表示させます。
- フィルタの入力バーに「jit」と入力し,Enterキーを押下します。
- 「javascript.options.jit.content」という設定項目の値が“true”になっている行をダブルクリックし,“false”に変更します。
- 変更後,詳細設定画面を表示したタブを閉じます。
このJavaScriptコンパイラの動作を無効にすると,JavaScriptの実行スピードが遅くなるという弊害が発生しますので,このセキュリティ・ホールに対応したバージョンに入れ替えた後に,再度値を初期値の“true”に戻す必要があります。
また,制限の多い“セーフモード”での動作でも回避可能とされています。セーフモードの詳細は,こちらに記載されています。
US-CERTが公開するセキュリティ・レポート「Vulnerability Note VU#443060 Mozilla Firefox 3.5 TraceMonkey JavaScript engine uninitialized memory vulnerability」では,これ以外の回避方法として,JavaScriptそのものの実行に影響が出ますが,『アドオンである「NoScript」を活用してぜい弱性を緩和する』や『JavaScriptの機能を無効にする』という方法も挙げられています。
なお,本コラム公開直前の6月17日,この「Critical JavaScript vulnerability in Firefox 3.5」のセキュリティ・ホールに対応したバージョンアップ版の「Firefox 3.5.1」が公開されました。原稿を加筆中の6月17日昼過ぎの時点では日本語の情報はまだ存在しませんが,英語情報の「Mozilla Foundation Security Advisory 2009-41」が公開されています。
ヘルプメニューの“ソフトウェアの更新を確認”の機能でも,「Firefox 3.5」の現在の最新バージョンである日本語化済みの「Firefox 3.5.1」にバージョンアップ可能です。速やかに変更しましょう。
