「Microsoft Edge」に致命的なゼロデイ脆弱性 ～Pwn2Ownで発見された欠陥とともに修正

「Microsoft Edge」v123.0.2420.65が公開

　米Microsoftは3月27日（現地時間）、デスクトップ版「Microsoft Edge」v123.0.2420.65を安定（Stable）チャネルでリリースした。本リリースは、脆弱性を修正したセキュリティアップデート。拡張安定（Extended Stable）チャネルもv122.0.2365.113へと更新されている。

　本バージョンでは、以下の「Chromium」由来の脆弱性が4件修正された。

• CVE-2024-2883：グラフィックレイヤーエンジン「ANGLE」における解放後メモリ利用（Critical）
• CVE-2024-2885：WebGPU実装「Dawn」における解放後メモリ利用（High）
• CVE-2024-2886：「WebCodecs」における解放後メモリ利用（High）
• CVE-2024-2887：「WebAssembly」における型混乱（High）

　このうち、「CVE-2024-2883」はすでに悪用が確認されているゼロデイ脆弱性であるとのこと。

　また、「CVE-2024-2886」と「CVE-2024-2887」は先日開催されたハッキングコンテスト「Pwn2Own Vancouver 2024」で「Edge」と「Chrome」を攻略するため実際に用いられたものだ。任意コードの実行に悪用できることが実証されており、警戒を要する。

　デスクトップ版「Microsoft Edge」はWindows/Mac/Linuxに対応しており、現在公式サイトから無償でダウンロード可能。すでに「Microsoft Edge」を利用中の場合は、自動で更新されるため何もする必要はない。手動で更新したい場合は、画面左上のメニュー（［…］アイコン）から［ヘルプとフィードバック］－［Microsoft Edge について］画面（edge://settings/help）へアクセスするとよい。