山下 眞一郎/富士通九州システムズ 基盤ソリューション本部
ネットソリューション部 担当部長

 最近,ある企業のシステム管理者から『Firefoxの最新バージョン「Firefox 3.5」がリリースされた。システム管理者として,従来の「Firefox 3」と最新版の「Firefox 3.5」のどちらを使用させるべきかの方針をアドバイスしてほしい』との相談を受けました。

 2009年7月1日,米MozillaはオープンソースWebブラウザの最新版「Firefox 3.5」を,日本語版も含めてリリースしました。従来の最新バージョンは「Firefox 3.0.11」であり,その次期バージョンは「Firefox 3.1」になる予定でしたが,新機能や変更点が多いことから急遽ベータ版の段階で「Firefox 3.5」に変更(マイナーバージョンアップの扱いからメジャーバージョンアップの扱いに変更)されました。

写真1●20090710「Firefoxについて」の表示
写真1●Firefoxについて」の表示

[関連記事]

  • Firefox3.5正式リリース,「Firefox 3.5の灯」も公開(2009/07/01)
  •  「Firefox 3.5」のWindowsでの動作環境は,Windows Vista,Windows 2000/XP/Server 2003になります(詳細は,こちらを参照)。

     一方,Internet Explorerの最新バージョン「Internet Explorer 8」(IE 8)のWindowsでの動作環境は,Windows Vista/Server 2008およびWindows XP SP2以降,Windows Server 2003 SP2以降となります(詳細は,こちらを参照)。

     Firefox 3.5の動作環境にはWindows Server 2008が含まれていませんが,IE 8が既にサポート対象から外しているWindows 2000もきちんとサポートしていることは評価できる点でしょう。

     Firefox 3.5の特徴は,「パフォーマンスの向上」,「セキュリティの向上」,「最新技術への対応」の3点です(Firefox 3.5の新機能や改良点は,Firefox機能概要に記載されています)。「パフォーマンスの向上」に関しては,JavaScriptエンジンに「TraceMonkey」(トレースモンキー)が搭載され,そのパフォーマンスは,Firefox 3の2倍以上,Firefox 2の10倍以上になったとされています。「セキュリティの向上」に関しては,閲覧したサイトの履歴が一切残らない“プライベートブラウジング”などが新機能として加えられていますし,Firefox 3と比較してマルウエア対策も改良されています。

     「最新技術への対応」に関しては,Webの各種技術の標準化団体であるW3Cが策定中のWeb技術標準“HTML 5”のサポートが挙げられます。厳密には部分的な対応ですが,audio および videoタグをサポートし,追加のプラグインがなくてもオープンなOgg Theora(オッグ セオラ)形式の動画,Ogg Vorbis(オッグ ボルビス)形式の音声を再生できるようになりました。自分が今いる場所をWebサイトに通知可能な“ロケーションアウェアブラウジング”なども挙げられるでしょう。

    [関連記事]

  • Firefox 3.5のリリースは7月1日,プラグイン無しでのビデオ再生などに対応
  • (2009/06/29)

     ただシステム管理者が一番気にしなければならないのは,最新バージョンの新機能ではありません。以前のコラム『セキュリティ上の観点で「Firefox 2」と最新版の「Firefox 3」のどちらを使用させるのか? 』に書いたのと同様に,

    (1)最新バージョンに,既知のセキュリティ・ホールは残っていないのか?
    (2)最新バージョンの導入時の注意事項は無いのか?
    (3)従来バージョンは,いつ使用できなくなるのか?

    といった点を見極める必要があります。

     まず,「(1)最新バージョンに,既知のセキュリティ・ホールは残っていないのか?」をチェックしてみましょう。

     Mozilla Japanが公開するセキュリティ情報リストのWebページである「Mozilla 製品における既知の脆弱性」をチェックしてみます。ここでは,従来製品の「Firefox 3.0 セキュリティアドバイザリ」はありますが,Firefox 3.5向けのものはリストすら存在していません。「Mozilla Foundation セキュリティアドバイザリ」をチェックしてみても同様です。

     ところが7月14日,Mozilla Security Blogにおいて「Critical JavaScript vulnerability in Firefox 3.5」という未解決のセキュリティ・ホールの存在が公開されました。エントリーの内容によると,JavaScriptコンパイラにセキュリティ・ホールが存在するため,悪意のあるコードをリモートから実行される可能性があるようです。

     回避方法は以下のように説明されています(分かりやすいように,一部説明を加えています)。

    1. 「Firefox 3.5」のURLを入力するlocationバーに「about:config」と入力し,Enterキーを押下します。
    2. 『動作保証対象外になります!』という警告画面の「細心の注意を払って使用する」という表示をクリックし,詳細設定画面を表示させます。
    3. フィルタの入力バーに「jit」と入力し,Enterキーを押下します。
    4. 「javascript.options.jit.content」という設定項目の値が“true”になっている行をダブルクリックし,“false”に変更します。
    5. 変更後,詳細設定画面を表示したタブを閉じます。

     このJavaScriptコンパイラの動作を無効にすると,JavaScriptの実行スピードが遅くなるという弊害が発生しますので,このセキュリティ・ホールに対応したバージョンに入れ替えた後に,再度値を初期値の“true”に戻す必要があります。

     また,制限の多い“セーフモード”での動作でも回避可能とされています。セーフモードの詳細は,こちらに記載されています。

     US-CERTが公開するセキュリティ・レポート「Vulnerability Note VU#443060 Mozilla Firefox 3.5 TraceMonkey JavaScript engine uninitialized memory vulnerability」では,これ以外の回避方法として,JavaScriptそのものの実行に影響が出ますが,『アドオンである「NoScript」を活用してぜい弱性を緩和する』や『JavaScriptの機能を無効にする』という方法も挙げられています。

     なお,本コラム公開直前の6月17日,この「Critical JavaScript vulnerability in Firefox 3.5」のセキュリティ・ホールに対応したバージョンアップ版の「Firefox 3.5.1」が公開されました。原稿を加筆中の6月17日昼過ぎの時点では日本語の情報はまだ存在しませんが,英語情報の「Mozilla Foundation Security Advisory 2009-41」が公開されています。

     ヘルプメニューの“ソフトウェアの更新を確認”の機能でも,「Firefox 3.5」の現在の最新バージョンである日本語化済みの「Firefox 3.5.1」にバージョンアップ可能です。速やかに変更しましょう。

    この先は会員の登録が必要です。有料会員(月額プラン)は初月無料!

    日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら