Firefox

Firefox 149.0.2公開、5件の高深刻度脆弱性を修正

Mozillaが「静かに」リリースしたマイナーアップデート。その中身は、静かとは言いがたい。

情報の灯台

2026年4月8日

Mozillaが「静かに」リリースしたマイナーアップデート。その中身は、静かとは言いがたい。

5件すべてが「高」深刻度という異例の修正

Firefox 149.0.2が4月7日に公開された。リリースノートには「Various security fixes」とだけ書かれているが、その内訳を見ると事の重大さがわかる。

Mozillaのセキュリティアドバイザリ（MFSA 2026-25）によれば、今回修正された脆弱性は5件すべてが「高」深刻度に分類されている。グラフィックス処理のTextコンポーネントにおける整数オーバーフロー、WebGPUコンポーネントの境界条件の誤り、そして3件のメモリ安全性バグ。いずれも「十分な労力をかければ、任意のコード実行に悪用される可能性がある」とMozillaは認めている。

メモリ破壊の証拠が確認されており、攻撃者がこれらの脆弱性を悪用すれば、任意のコードを実行できる可能性がある。

「可能性がある」という控えめな表現だが、セキュリティ研究者の視点では「攻撃手法が確立されるのは時間の問題」と読み替えるべきだろう。Firefox ESR 115.34.1、ESR 140.9.1、Thunderbird ESR 140.9.1、Thunderbird 149.0.2も同時にアップデートされている。この範囲の広さが、脆弱性の深刻さを裏付ける。

印刷とエラー表示、地味だが厄介だった問題

セキュリティ修正の陰に隠れているが、実用上の修正も見逃せない。

ドロップダウンメニューや特定のスタイルが印刷時に正しく表示されない問題が解消された。

印刷プレビューでは問題なく見えるのに、実際の印刷結果では要素が欠落する。そんな現象に悩まされていたユーザーは少なくないはずだ。

Webアプリケーションを業務で印刷するユーザーにとっては、これまで「なぜか一部が欠ける」という理不尽と戦ってきた。原因がブラウザ側にあったと知れば、溜飲が下がる人もいるかもしれない。

もうひとつ、Webサイトのエラーページが汎用メッセージしか表示しない問題も修正された。サーバーが返す具体的なエラーコードと説明が表示されるようになる。開発者にとってはデバッグ効率が大きく変わる修正だ。「接続できませんでした」だけでは、問題がDNSなのかTLSなのかサーバー側なのか判別できない。エラーの詳細がわかれば、原因の切り分けが格段に早くなる。

LinuxユーザーとFIDO2ユーザーへの対応

プラットフォーム固有の問題も潰されている。

Linux上でWaylandを使用している場合、タブをドラッグした後にブラウザのツールバーがマウスクリックに反応しなくなる問題があった。X11からWaylandへの移行が進む中、こうした「Waylandだと動かない」系のバグは地味にストレスだった。

また、セキュリティキーやWebAuthn機能を使った2要素認証でクラッシュする問題も修正された。FIDO2やパスキーの普及が進む中、認証の瞬間にブラウザが落ちるのは致命的だ。セキュリティを強化しようとしたら、ブラウザが壊れる。皮肉としか言いようがない状況が、ようやく解消された。

エンタープライズ向け：AIとVPNを管理者が制御可能に

企業利用を想定した機能追加も含まれている。

Firefox 149で導入された無料VPN機能について、管理者が無効化できるポリシーが追加された。企業ネットワークでは、ユーザーが勝手にVPNを使うとセキュリティ監視やコンプライアンスの問題が生じる。IT部門としては「余計な機能を追加しないでくれ」と言いたくなる類の話だが、Mozillaはそれを見越してポリシーを用意した。

AI関連機能を直接管理・制御できる新しいエンタープライズポリシーが導入された。

さらに興味深いのは、AI関連機能を管理者が制御できるポリシーの追加だ。Firefox内のAI機能がどこまで拡大するかは不透明だが、「AIは使わせない」という選択肢を企業に提供している点で、Mozillaの姿勢は明確だ。便利さより統制。そういう環境は実際にある。

アップデートの確認方法

Firefox 149.0.2へのアップデートは、メニューから「ヘルプ」→「Firefoxについて」で確認できる。自動更新を有効にしていれば、すでに適用されているはずだ。

5件の高深刻度脆弱性という事実を考えれば、「そのうち更新すればいい」では済まない。今すぐ確認すべきだろう。

参照元

ポケモンGOの「隠れた遺産」が、ロボットの目になる日

スマートフォンを持って歩くだけで、世界中のどこでもセンチメートル単位の精度で位置を特定できる。そんな未来が、ゲームから生まれようとしている。 Niantic Spatialが描く「機械のための地図」 Niantic Spatialが新プラットフォーム「Scaniverse」のビジネス向けサービスを公開した。スマートフォンや360度カメラで空間を撮影するだけで、ロボットやAIが理解できる3Dマップを生成する。同時に発表されたVPS 2.0は、事前スキャンなしでも世界規模で精密な視覚測位を可能にする。 0:00 /0:03 1× Niantic Spatialは、ポケモンGOの開発元であったNianticから2025年5月に分社化した企業だ。ゲーム事業を35億ドル（約5600億円）でScopelyに売却し、地理空間AI技術に特化する道を選んだ。創業者のジョン・ハンキは2026年3月30日に執行会長へ移行し、新CEOにはInhi Cho Suhが就任している。ハンキは引き続き製品戦略やビジネス開発、

イラン系ハッカー、米国の水道・電力を「実際に破壊」──FBIが異例の緊急警告

米国の重要インフラが、静かに蝕まれている。イラン系ハッカーによる攻撃はもはや偵察や情報窃取の段階を超え、水道施設やエネルギー設備の「実際の運用妨害」を引き起こしている。 FBIが認めた「財務損失と運用停止」米国の連邦機関6組織が4月7日、異例の合同警告を発した。FBI、NSA（国家安全保障局）、CISA（サイバーセキュリティ・インフラ安全保障庁）、EPA（環境保護庁）、エネルギー省、そしてサイバー軍──これほどの顔ぶれが揃うこと自体が、事態の深刻さを物語る。 Iranian-Affiliated Cyber Actors Exploit Programmable Logic Controllers Across US Critical Infrastructure | CISAU.S. organizations should review the TTPs and IOCs in this advisory for indications of current or

ビル・ゲイツ、エプスタイン調査で米議会証言へ──6月10日に非公開聴取

マイクロソフト創業者が、「巨大な過ち」と認めた関係について宣誓証言する。

「単純な裁判」でもAIに任せるべきではない理由

AIが法廷に入り込もうとしている。効率化という名のもとに、静かに、しかし着実に。だがその道の先には、「公正な裁判」という人類が数百年かけて築いた原則の崩壊が待っている。人間の裁判官を機械に置き換える動きが始まっている世界各地で、AIが司法判断に関与する実験が進行している。まだ実験段階と言われるが、その歩みは確実に進んでいる。エストニアは7000ユーロ（約130万円）以下の少額訴訟を半自動化したシステムで処理している。当事者が書類をアップロードすれば、AIが判断を下し、不服があれば人間の裁判官に上訴できる仕組みだ。ドイツのフランクフルト地方裁判所では、Fraukeと呼ばれるAIシステムが航空旅客の権利訴訟を支援している。年間1万〜1万5000件にのぼる遅延補償請求を、過去の判例から自動生成した判決文のテンプレートで処理する。IBMと共同開発されたこのシステムは、裁判官が判決文を書く時間を大幅に短縮したという。台湾ではさらに踏み込んだ。2023年11月から、飲酒運転や詐欺幇助の刑事事件でAIが判決文の草案を自動生成するパイロットプログラムが始まった。当初は同年9月開始予定