Security Vulnerabilities fixed in Firefox 100.0.2, Firefox for Android 100.3.0, Firefox ESR 91.9.1, Thunderbird 91.9.1
Announced May 20, 2022 Impact critical Products Firefox, Firefox ESR, Firefox for Android, Thunderbird Fixed in Firefox 100.0.2 Firefox ESR 91.9.1 Firefox for Android 100.3 Thunderbird 91.9.1 #CVE-2022-1802: Prototype pollution in Top-Level Await implementation Reporter Manfred Paul via Trend Micro's Zero Day Initiative Impact critical Description If an attacker was able to corrupt the methods of
Microsoft Store ポリシー改訂、Chrome や Firefox の公開が可能に | スラド デベロッパー
7 月 28 日に発効する Microsoft Store ポリシー バージョン 7.14 では、Chrome や Firefox などのブラウザーを Microsoft Store で公開可能にする変更が含まれている(Microsoft Store ポリシー最新版、 変更履歴)。 これまでのポリシーは 10.2.1 で「Web を閲覧する製品では、Windows プラットフォームによって提供される適切な HTML エンジンと JavaScript エンジンを使用する必要があります」となっており、Chrome や Firefox をそのまま UWP 化しても公開できなかった。 今回の改訂では Web エンジンに関する指定が「Web を参照する製品では、Chromium または Gecko オープン ソース エンジンのいずれかが使用されている必要があります 」に変更された。これらオープンソー
アンカー上の target=_blank が rel=noopener を暗示するようになりました | Firefox サイト互換性情報
リリース: Firefox 79 カテゴリー: DOM, HTML, プライバシー & セキュリティ 概要Firefox 79 以降、target="_blank" を伴った <a> や <area> 要素は、現行の HTML 仕様 に従い、rel 属性が設定されていない限り暗黙的に rel="noopener" を適用します。noopener リンクタイプは新たに開かれたウィンドウ内の window.opener を null とすることで、この DOM プロパティが信頼できない第三者のサイトによって悪用されるのを防ぎます。必要な場合は、rel="opener" を明示的に設定することで挙動を反転させられます。 Apple は 2019 年 3 月公開の Safari 12.1 で最初にこの変更を行いました。Firefox では、Firefox 65 以降の Nightly と早期 Be
Securing Firefox with WebAssembly – Mozilla Hacks - the Web developer blog
Protecting the security and privacy of individuals is a central tenet of Mozilla’s mission, and so we constantly endeavor to make our users safer online. With a complex and highly-optimized system like Firefox, memory safety is one of the biggest security challenges. Firefox is mostly written in C and C++. These languages are notoriously difficult to use safely, since any mistake can lead to compl
It’s the Boot for TLS 1.0 and TLS 1.1 – Mozilla Hacks - the Web developer blog
Editor’s Update: June 24, 11:40am PDT – We will be moving ahead with disabling TLS 1.0 and TLS 1.1 by default in Firefox 78, releasing June 30th. If you see a “Secure Connection Failed” message as displayed in the post below, then hit the button to re-enable TLS 1.0 and TLS 1.1. You should only need to hit this button once, the change will be global. Earlier Update: March 23, 10:43am PDT – We have
When does Firefox alert for breached sites? – Mozilla Security Blog
Mozilla’s Position on Data Breaches Data breaches are common for online services. Humans make mistakes, and humans make the Internet. Some online services discover, mitigate, and disclose breaches quickly. Others go undetected for years. Recent breaches include “fresh” data, which means victims have less time to change their credentials before they are in the hands of attackers. While old breaches
Shipping a security update of Firefox in less than a day – Mozilla Hacks - the Web developer blog
One of Mozilla’s top priorities is to keep our users safe; this commitment is written into our mission. As soon as we discover a critical issue in Firefox, we plan a rapid mitigation. This post will describe how we fixed a Pwn2Own exploit discovery in less than 22 hours, through the collaborative and well-coordinated efforts of a global cross-functional team of release and QA engineers, security e
Updates to Add-on Review Policies – Mozilla Add-ons Community Blog
The Firefox add-ons platform provides developers with a great level of freedom to create amazing features that help make users’ lives easier. We’ve made some significant changes to add-ons over the past year, and would like to make developers aware of some updates to the policies that guide add-ons that are distributed publicly. We regularly review and update our policies in reaction to changes in
HTTP/2 のコネクション再利用について確認してみる - ブログ・ア・ラ・クレーム
はじめに 本記事は http2 Advent Calendar 2015 の 12 日目の記事となります。 本記事では HTTP/2 における TCP コネクション再利用とその周辺仕様を確認してみようと思います。コネクション再利用の挙動を理解することは、実際の Web サイトにおける HTTP/2 のデプロイの助けになると思われます。 HTTP/1.1, HTTP/2 での TCP コネクション管理 よく訓練された方々には既知のことかとは思いますが、 HTTP/2 において HTTP/1.1 の頃にあった性能向上の為のハックであるドメインシャーディングは好ましくないテクニックになってしまいます。 HTTP/1.1 において今日のブラウザは 1 ドメインあたり概ね 6 TCP コネクションほど張って、並列にリクエストを送るような振る舞いをします。このため Web サイトなどで参照するドメイン
1232785 - (CVE-2015-8509) [SECURITY] Buglists in CSV format can be parsed as valid javascript in some browsers
[SECURITY] Buglists in CSV format can be parsed as valid javascript in some browsers [SECURITY] Buglists in CSV format can be parsed as valid javascript in some browsers
![1232785 - (CVE-2015-8509) [SECURITY] Buglists in CSV format can be parsed as valid javascript in some browsers](https://cdn-ak-scissors.b.st-hatena.com/image/square/94e68033a33a368f97324bf314b4b8b9099309f2/height=288;version=1;width=512/https%3A%2F%2Fbugzilla.mozilla.org%2Fextensions%2FOpenGraph%2Fweb%2Fmoz-social-bw-rgb-1200x1200.png)
安全でない HTTP は廃止予定となります (影響あり) | Firefox サイト互換性情報
インターネット接続は常に暗号化されるべきという提案に関して、業界は大筋で合意に達しています。新しい Service Worker API は元々 HTTPS が必須となっています。Mozilla 開発者の提案によれば、Geolocation、Notification、Fullscreen、Pointer Lock、Media Stream API といったユーザーの許可設定を必要とする一部の機能に関しても、今後 HTTPS が必須となる可能性があります。 また、非 HTTPS の Cookie をセッション Cookie として扱うことで、広告ネットワークとパブリッシャーの HTTPS 移行を促すことも提案されています。 まだ明確なスケジュールは出されていませんが、安全でない HTTP の廃止はそう遠くない将来に行われます。ウェブコンテンツ提供者にはできる限り早い時期に HTTPS への移
Do not let your CDN betray you: Use Subresource Integrity – Mozilla Hacks - the Web developer blog
Mozilla Firefox Developer Edition 43 and other modern browsers help websites to control third-party JavaScript loads and prevent unexpected or malicious modifications. Using a new specification called Subresource Integrity, a website can include JavaScript that will stop working if it has been modified. With this technology, developers can benefit from the performance gains of using Content Delive
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
1783489 - Implement CSP 'webrtc' directive
Intent to Ship: Move Extended Validation Information out of the URL bar - Google グループ
Bug 771331 - make form elements fire events when <input type=password… · mozilla/gecko-dev@414a18b
Intent to implement and ship: CSP exemptions for content injected by privileged callers
1333995 - Return a network error for requests whose type is "script" with additional bad MIME types (round 2)
1222516 - Implement rel=noopener
Googleグループ
1150897 - Implement fetch "nosniff" spec changes