Mozilla Firefox が 48.0 に更新され、セキュリティの問題やバグを修正し、さまざまな改善を提供しています。

以下の重要な変更が含まれています：

- プロセスの分離（e10s）が一部のユーザーに対して有効にされています

- Mozilla が検証し、署名していないアドオンはロードされません

- WebRTC の機能強化

- Rust プログラミング言語を使用して、メディアパーサーが再開発されています

- スピーディな Skia サポートで Canvas のパフォーマンスを改善します

- 現時点では NSS 3.24 が必要です

以下のセキュリティ問題が修正されました：（boo#991809）

- CVE-2016-2835/CVE-2016-2836：様々なメモリの安全性に関する問題

- CVE-2016-2830：ページを閉じた時に、Favicon ネットワーク接続が持続する可能性があります

- CVE-2016-2838：双方向コンテンツによる SVG のレンダリング時のバッファオーバーフロー

- CVE-2016-2839：FFmpeg 0.10 でのメモリ割り当ての問題による、Cairo レンダリングのクラッシュ

- CVE-2016-5251：無効な形式の/無効なメディアタイプのデータ URL を通じたロケーションバーのなりすまし

- CVE-2016-5252：2D グラフィックスレンダリング中のスタックアンダーフロー

- CVE-2016-0718：Expat ライブラリの XML 解析中の領域外読み取り

- CVE-2016-5254：Alt キーとトップレベルメニュー使用時の use-after-free

- CVE-2016-5255：JavaScript のインクリメンタルガベージコレクションのクラッシュ

- CVE-2016-5258：WebRTC セッションシャットダウン中の　DTLS における use-after-free

- CVE-2016-5259：ネスト化した同期イベントでの Service Worker における use-after-free

- CVE-2016-5260：パスワードからテキストへのフォーム入力タイプ変更により、セッション復元ファイルに平文テキストのパスワードが保存される可能性があります

- CVE-2016-5261：データバッファ中に発生する WebSocket の整数オーバーフロー

- CVE-2016-5262：marquee タグのスクリプトが、サンドボックス化した iframe で実行される可能性があります

- CVE-2016-2837：ビデオ再生中の ClearKey Content Decryption Module（CDM）におけるバッファオーバーフロー

- CVE-2016-5263：ディスプレイ変換における型の取り違え（Type Confusion）

- CVE-2016-5264：SVG 効果を適用する際の use-after-free

- CVE-2016-5265：ローカル HTML ファイルと保存されたショートカットファイルを使用する同一生成元ポリシー違反

- CVE-2016-5266：情報漏洩とドラッグアンドドロップによるローカルファイルの操作

- CVE-2016-5268：内部エラーページに対するテキスト注入を通じたなりすまし攻撃

- CVE-2016-5250：ページナビゲーション中にリソースタイミング API に情報漏洩が存在します

以下の非セキュリティ変更も含まれています：

- AppData の説明とスクリーンショットが更新されました。

- i586 の起動で発生する Firefox のクラッシュを修正します（boo#986541）

- Selenium WebDriver により Firefox が起動時にクラッシュする可能性がありました

- Leap 42.2 で使用される gcc/binutils の組み合わせのビルド問題を修正します（boo#984637）

- 48 ビットの va aarch64 で実行されている修正（boo#984126）

- KDE セッションの XUL ダイアログボタンの順序を修正します（boo#984403）

Mozilla NSS は依存関係として 3.24 に更新されました。

mozilla-nss での変更：

- NSS softoken が最新の NIST ガイダンスで更新されました

- NSS softoken が更新され、NSS を FIPS レベル 1（パスワードなし）で実行できるようになりました

- さまざまな関数が追加され、廃止されました。

- SSL v2 に関連するほとんどのコードを削除します。これには、SSLv2 との互換性がある client hello をアクティブに送信する機能も含まれます。

- Cachebleed 攻撃に対して保護します。

- DTLS 圧縮のサポートを無効にします。

- TLS 1.3 のサポートを向上します。これは、DTLS 1.3 のサポートを含みます。（実験的）

検出

openSUSE セキュリティ更新：MozillaFirefox/mozilla-nss（openSUSE-2016-937）

critical Nessus プラグイン ID 92746

変更ログが見つかりません