JSer.info #761 - Node.js 20.20.0/22.22.0/24.13.0/25.3.0のセキュリティリリースが公開されました。
8件の脆弱性が修正されています。主な修正として、Buffer.allocやTypedArrayが初期化されていないメモリを含む可能性があるRace Conditionの修正(CVE-2025-55131)、シンボリックリンクを使ったPermission Modelのバイパスの修正(CVE-2025-55130)、不正なHTTP/2 HEADERSフレームでサーバがクラッシュする問題の修正(CVE-2025-59465)が含まれています。
また、async_hooks有効時にスタックオーバーフローエラーがキャッチできない問題についても修正されています。
async_hooksはNext.jsやDatadogなどのAPMツールなどで広く利用されています。
この問題の詳細については、次の記事で解説されています。
Chrome 144がリリースされました。
CSSの::search-textでページ内検索のスタイリングをサポート、@scroll-state: scrolledをサポート、View TransitionsのwaitUntil()の追加などのCSS関連の機能が追加されています。また、<geolocation>要素の追加、Temporal APIのサポート、clipboardchangeイベントの追加などのWeb API関連の更新が含まれています。
Firefox 147がリリースされました。
Apple SiliconデバイスでWebGPUがデフォルトで有効化されました。また、Navigation API、CSS anchor positioning、CSS Module Scriptsのサポートが追加されています。CompressionStream/DecompressionStreamがBrotliをサポートし、Service Workerでtype: moduleがサポートされるようになりました。
お知らせ
2026年1月16日でJSer.infoは15周年を迎えました。
次の記事で、JSer.infoのデータを使って過去15年間のJavaScriptの動向を振り返っています。
JSer.infoをサポートするには
- 😘 知り合いにJSer.infoをおすすめする
- ❤️ GitHub Sponsorsで@azuのスポンサーになる
- 🐦 X(Twitter)で@jser_infoをフォローする
JSer.info Sponsors
JSer.info SponsorsはGitHub SponsorsとしてJSer.infoを支援してくれている方々です。
ヘッドライン
ESLint v10.0.0-rc.0 released - ESLint - Pluggable JavaScript Linter
eslint.org/blog/2026/01/eslint-v10.0.0-rc.0-released/
ESLint v10.0.0 RC.0リリース。
RuleTesterの改善、max-paramsルールにcountThisオプションを追加
Release 3.0.0-rc1 · qunitjs/qunit
github.com/qunitjs/qunit/releases/tag/3.0.0-rc1
QUnit 3.0.0-rc1リリース。
Node.js 16以下のサポートとPhantomJSのサポートを削除。
ネイティブESM対応の追加、デフォルトで3秒のテストタイムアウトを有効化、assert.expect()からassert.step()を除外する変更。
HTML Reporterのデザイン刷新とパフォーマンス、各種警告をエラーへ変更なd
Alpha release of moon v2 now available! | moonrepo
moonrepo.dev/blog/moon-v2-alpha
moon v2 αリリース。
YAML以外の設定ファイルをサポート、ツールチェインをWasmプラグインで実行されるように変更など
Release @pandacss/[email protected] · chakra-ui/panda
github.com/chakra-ui/panda/releases/tag/%40pandacss%2Fdev%401.8.0
Panda CSS 1.8.0リリース。
panda init-mcpでMCPサーバの設定ができるように
Bun v1.3.6 | Bun Blog
Bun v1.3.6リリース。
tarファイルを扱うBun.Archive API、コメント付きJSONを扱うBun.JSONC APIの追加。
Bun.build()にesbuild互換のmetafileオプションを追加。
WebSocketがHTTP/HTTPSプロキシをサポート、S3 Requester Paysのサポート。
各種パフォーマンスの改善、Node.js互換性の改善など。
Node.js — Tuesday, January 13, 2026 Security Releases
nodejs.org/en/blog/vulnerability/december-2025-security-releases
Node.js 20.20.0/22.22.0/24.13.0/25.3.0のセキュリティリリース。
8件の脆弱性が修正されている。
Buffer.allocやTypedArrayが初期化されていないメモリを含む可能性があるRace Conditionの修正(CVE-2025-55131)。
シンボリックリンクを使ったPermission Modelのバイパスの修正(CVE-2025-55130)。
不正なHTTP/2 HEADERSフレームでサーバがクラッシュする問題の修正(CVE-2025-59465)。
また、async_hooks有効時にスタックオーバーフローエラーがキャッチできない問題、TLSクライアント証明書処理のメモリリークなども修正されている。
Chrome 144 | Release notes | Chrome for Developers
developer.chrome.com/release-notes/144
Chrome 144リリース。
CSSの::search-textでページ内検索のスタイリングをサポート、@scroll-state: scrolledをサポート、View TransitionsのwaitUntil()を追加。
<geolocation>要素の追加、Temporal APIのサポート、clipboardchangeイベントの追加。
WebGPUのUniform buffer標準レイアウトで16バイトアライメント要件を削除、subgroup_id機能の追加。
Privacy Sandboxで実装されていた機能を非推奨化など
Copilot SDK in technical preview - GitHub Changelog
github.blog/changelog/2026-01-14-copilot-sdk-in-technical-preview/
GitHub Copilot SDKがテクニカルプレビューとして公開された。
Node.js/TypeScript、Python、Go、.NETの4つの言語で利用可能。
GitHub Copilot CLIへプログラムからアクセスするためのSDKで、マルチターン会話やカスタムツールの定義、クライアント/セッションのライフサイクル管理ができる。
Firefox 147.0, See All New Features, Updates and Fixes
www.firefox.com/en-US/firefox/147.0/releasenotes/
Firefox 147リリース。
Apple SiliconデバイスでのWebGPUの有効化。
Accept-Languageヘッダーのq値を他のブラウザに合わせて調整。
Navigation API、CSS anchor positioningのサポート、CSS Module Scriptsのサポート。
CompressionStream/DecompressionStreamがBrotliをサポート、Servie Workerでtype: moduleをサポートなど
Prettier 3.8: Support for Angular v21.1 · Prettier
prettier.io/blog/2026/01/14/3.8.0
Prettier 3.8リリース。
Angular v21.1の新構文である@switchブロック内の連続した@caseステートメント、配列/オブジェクト/関数呼び出しでのSpread要素をサポート。
Markdownファイル内のAngularコードブロック(angular-ts、angular-html)のフォーマットに対応など
Electron 40.0.0 | Electron
www.electronjs.org/blog/electron-40-0
Electron 40.0.0リリース。
Chromium 144/Node.js 24.11/V8 14.4へアップグレード。
レンダラープロセスからのクリップボードAPIの直接アクセスが非推奨に、macOSのdSYMファイルがzip形式からtar.xz形式に変更。
app.isHardwareAccelerationEnabled()メソッドの追加、オフスクリーン描画でのHDRカラースペースの対応など。
Astro is joining Cloudflare
blog.cloudflare.com/astro-joins-cloudflare/
Astro Technology CompanyがCloudflareに買収された。
AstroはオープンソースでMITライセンスは維持される。
またAstro 6では、Vite Environmentsベースの開発サーバーによりローカル開発時にCloudflare Workersランタイム(workerd)で実行できるようになる予定。
アーティクル
Node.js — Mitigating Denial-of-Service Vulnerability from Unrecoverable Stack Space Exhaustion for React, Next.js, and APM Users
nodejs.org/en/blog/vulnerability/january-2026-dos-mitigation-async-hooks
Node.jsのasync_hooksにスタックオーバーフローの問題があったことについて。
AsyncLocalStorageはNext.jsやDatadogなど多くのフレームワークやツールで利用されているため、影響範囲が広くなっている。
どのような仕組みでスタック領域の枯渇する問題が発生しているかについての解説
Streaming JSON in just 200 lines of JavaScript
krasimirtsonev.com/blog/article/streaming-json-in-just-200-lines-of-javascript
JSONをストリーミングする方法についての記事。
サーバー側で非同期データ(Promise)をプレースホルダーに変換し、NDJSON形式とTransfer-Encoding: chunkedを使ってデータを段階的に送信する。
クライアント側ではFetch APIでストリームを読み込み、プレースホルダーを実データに置き換える実装について。
Introducing: React Best Practices - Vercel
vercel.com/blog/introducing-react-best-practices
Vercelが10年以上のReact・Next.js最適化の知見をまとめたreact-best-practicesというリポジトリを公開した。
AIエージェントやLLM向けに最適化されたルール集で、40以上のルールが8カテゴリに分類されている。
ウォーターフォールの排除、バンドルサイズ削減、再レンダリング最適化などのパターンを、CRITICALからLOWまでの優先度付きでまとめている。
サイト、サービス、ドキュメント
VibiumDev/vibium: Browser automation for AI agents and humans
Selenium BiDiベースのブラウザ操作をするMCPサーバ
coder/ghostty-web: Ghostty for the web with xterm.js API compatibility
github.com/coder/ghostty-web?tab=readme-ov-file
ブラウザ上で動作するターミナルエミュレータライブラリ。
libghosttyをWasmにコンパイルして利用し、xterm.js互換のAPIを提供する。
xterm.jsと比較して複雑な文字体系の正しいグラフェム処理、XTPUSHSGR/XTPOPSGRのサポートなどがある。
ソフトウェア、ツール、ライブラリ関係
MotiaDev/motia: Multi-Language Backend Framework that unifies APIs, background jobs, queues, workflows, streams, and AI agents with a single core primitive with built-in observability and state management.
Stepという単位で処理を書いていくバックエンドフレームワーク。
Stepは色々なJavaScriptやPythonなど色々な言語で書くことができる
vercel-labs/agent-browser: Browser automation CLI for AI agents
github.com/vercel-labs/agent-browser
AIエージェント向けのヘッドレスブラウザ自動化CLI。
RustのCLIとNode.jsデーモン(Playwrightを利用)で構成され、クライアント・デーモン構造で動作する。
アクセシビリティツリーからAI向けに最適化されたスナップショットを取得する機能や、ARIAロールやラベルでの要素検出、WebSocketでのブラウザビューポートのストリーミングなどを提供する。
