Apple、Spectre脆弱性対策済みのSafari Technology Preview 47をリリースc

Appleは、実験的なウェブ機能を提供する開発者向けブラウザ「Safari Technology Preview」をアップデートし、今月初めに公開されたSpectre脆弱性に対する緩和策を導入しました。Safari Technology Previewユーザーは、バージョン47をMac App Storeまたはオンラインで入手できます。

開発者向けブラウザは本日アップデートを受け取りましたが、Apple は月曜日のソフトウェアアップデートを通じて、iOS 11、macOS High Sierra、macOS Sierra、macOS El Capitan 上の Safari の公式バージョンをすでにアップデートしています。

iPhoneおよびiPadのSafariには、iOS 11.2.2でSpectre攻撃に対する緩和策が組み込まれており、macOS 10.13.2ではSafariのパッチ適用のための追加アップデートが配信されました。Appleは、macOS SierraおよびmacOS El Capitan向けに、旧OS向けのウェブブラウザのアップデート版をリリースしました。

Appleは先週、最近明らかになった脆弱性に関連する潜在的な問題を軽減するためにSafariのさらなるアップデートが必要であることを認めた。

すべてのMacシステムとiOSデバイスが影響を受けますが、現時点ではお客様に影響を与える既知の脆弱性は確認されていません。これらの問題の多くは、悪意のあるアプリをMacまたはiOSデバイスにインストールする必要があるため、App Storeなどの信頼できるソースからのみソフトウェアをダウンロードすることをお勧めします。

Appleは、Meltdownの脆弱性対策として、iOS 11.2、macOS 10.13.2、tvOS 11.2に既に緩和策をリリースしています。Apple WatchはMeltdownの影響を受けません。近日中に、SafariにSpectreの脆弱性対策をリリースする予定です。これらの問題に対する緩和策の開発とテストを継続し、iOS、macOS、tvOS、watchOSの今後のアップデートでリリースする予定です。

Safari Technology Preview 47 の完全なリリースノートは次のとおりです。

ストレージアクセスAPI

サンドボックス化されていない<iframe>からのリクエストを許可するようにしました
document.cookieレイヤーにフレーム固有のアクセスを実装しました
document.hasStorageAccess()がネットワークプロセスから現在のステータスを取得するようにしました
アクセス削除のために XPC をリファクタリングし、Web プロセスからネットワークプロセスに直接アクセスできるようにしました。
ストレージアクセスを要求する際のJavaScript confirm()プロンプトを削除しました

サービスワーカー

フェッチイベントに提供されるレスポンスBLOBのサポートを追加しました
サービスワーカーの終了時に保留中のスクリプトの読み込みがキャンセルされました
ナビゲーション読み込みのリダイレクトモードを手動として公開するようにサービスワーカーを変更しました
Blob タイプの本体の抽出時に、Content-Type を空の文字列ではなく null に設定するように変更しました。
サービスワーカースクリプトの取得に「エラー」リダイレクトモードを使用するように変更しました
Service Worker スクリプトのフェッチリクエストを変更して、Service-Workerヘッダーを設定しました。
サービスワーカーがインターセプトする前に、アプリケーションまたはフェッチ仕様によって追加された HTTP ヘッダーをクリーンアップしないようにサービスワーカーを変更しました。
データ URL と BLOB URL にドキュメントサービスワーカーを再利用するように変更しました
サーバーワーカーのユーザータイミングとリソースタイミングを有効にしました
サービスワーカーの登録時に使用するデフォルトのスコープを修正しました
スクリプトのロードに失敗したときに、Service Worker 登録の Promise が拒否されないことがある問題を修正しました。
サービスワーカーがレスポンスの汚染を修正し、汚染を維持できるようにしました
提供されたスクリプトURLで始まるようにscopeURLを修正しました
サービスワーカー内の updateViaCache に従うようにself.importScripts()を修正しました。
サービスワーカーの状態がアクティブになるまで待機するようにフェッチ処理を修正しました
Service Worker から提供される不透明なレスポンスで SameOrigin と CORS フェッチが失敗する問題を修正しました。
異なる認証情報取得オプションでリソースを再利用しないようにメモリキャッシュを修正しました
「メインフェッチ」のデフォルトリファラーポリシー設定を実装しました
非 HTTP ナビゲーションロードのサービスワーカー登録の検索を防止しました
BLOB 本体を含むリクエストの Service Worker インターセプションをサポート

メディア

サスペンド時にインライン要素からピクチャーインピクチャーを有効にする
「pause(); play()」を呼び出すメディア要素の再生時に再生プロミスが拒否される問題を修正しました。
Flashビデオの再生中にフレームがドロップされる問題を修正しました
<iframe allow=”camera; microphone”>を実装しました

レンダリング

SVG照明フィルタのライト座標系を修正しました
画面上でアニメーション表示される要素が時々消える問題を修正しました
fePointLightsの色の設定を修正しました
feDiffuseLightingの右下のピクセルの色を修正しました
SVG 照明カラーをlinearSRGBに変換するように修正しました
primitiveUnits=”objectBoundingBox”のfeLighting を修正しました
スタイルの呼び出し前にSVG use要素のシャドウツリーを明示的に更新しました

ウェブインスペクター

キャンバスタブをデフォルトで有効にする
システムフォントを列挙する際のオープン時間のパフォーマンスが向上しました
ドッキングされたインスペクタで Command-Option-R (⌘⌥R) を押すと、検査されたページではなく Web インスペクタが再読み込みされる問題を修正しました。
ネットワークタブのURLフィルターが他のタブのフィルターバーと同様に大文字と小文字を区別しないように修正しました
詳細ビューを閉じた後のネットワークタブのウォーターフォールグラフのサイズが誤っていた問題を修正しました。
ネットワークタブのテーブルでタイミングデータを表示するウォーターフォールポップオーバーを再設計しました
ネットワークタブの表の時間列を更新し、ダウンロード時間だけでなく合計時間も含めるようにしました。
スタイルサイドバーにCSS変数のインラインスウォッチを追加しました
スタイルのサイドバーで次のプロパティに移動するために、値の最後にセミコロンを入力する機能のサポートを追加しました。
Command-S (⌘S) を有効にして、スタイルサイドバーの対応する CSS リソースの変更を保存できるようになりました。
スタイルサイドバーでテキストを選択しても新しいプロパティが追加されないように修正しました
「ログ値」コンテキストメニューが時々利用できなくなる問題を修正しました
RTLモードでのDOMツリー要素の選択を修正しました
リソースに既に入力されていて初めて表示される検索バナーが機能しないことがある問題を修正しました。
キャプチャーエレメントのスクリーンショットがぼやけている問題を修正しました
CSSソースマップが読み込まれない問題を修正
セレクターの上をクリックして、スタイルサイドバーに新しいプロパティを追加する機能を実装しました。

クリップボードAPI

Safari テクノロジープレビューでカスタムクリップボードタイプとクリップボードデータのサニタイズを有効にするために、isSafari ランタイムチェックを修正しました。
Gmailに画像を貼り付けられない問題を修正しました
LegacyWebKit クライアントの貼り付けられたコンテンツ内の BLOB URL 変換を元に戻しました