Mozilla Foundationは3月18日(現地時間)、Webブラウザ安定版のアップデートとなる「Firefox 28」をWindows、Mac、Linux、Android向けに公開した。
このアップデートで、オープンソースのビデオフォーマット「WebM」のビデオコーデック技術「VP9」、音声コーデック「Opus」をサポートした。また、HTML5のaudioとvideoの音量調節が可能になった。
Web高速化プロトコル「SPDY」のバージョン2のサポートが終了した(Firefox 15からSPDY 3をサポートしている)。
Mac版では「通知センター」をサポートした。米Appleの純正Webブラウザ「Safari」と同様に、対応するWebサイトのプッシュ通知をMacのデスクトップに表示させることができる。
Windows版では「Firefox Metro」が終了した。
Android版の主な新機能は以下の通り。
・文字の選択、カット、コピーの操作がAndroidネイティブに統一された
・ロケーションバーに予測機能追加
・複数の共有ボタンの追加
・タイトルバーを自動的に隠す設定機能の追加
・OpenSearchのサポート
セキュリティ関連としては、計18項目の脆弱性が修正された。重要度の内訳は、Mozillaの4段階評価で最も高い「最高」が5項目、上から2番目の「高」が3項目などとなっている。
このうち「中性化後のTypedArrayObjectを通じた境界外書き込み」「中性ArrayBufferオブジェクトを通じた境界外読み書き」「TypeObject における解放後使用」「WebIDLに実装されたAPIを用いた特権昇格」の4項目に分類された5件の脆弱性は、3月13~14日に開かれたZero Day Initiative主催のハッキングコンペ「Pwn2Own」でWebブラウザのセキュリティ破りに利用された。
重要度は4項目とも「最高」と位置付けており、悪用された場合、任意のコードを実行される恐れがある。
Pwn2Ownではフランスの脆弱性調査会社Vupenのほか、3人の挑戦者がFirefoxの脆弱性を突いて任意のコードを実行することに成功していた。
この他、メモリ安全性に関する2件の脆弱性も重要度「最高」に区分けされている。延長サポート版は「Firefox ESR 24.4」がリリースされ、これら脆弱性に対処した。
