ニュース

「Microsoft Edge 94」が安定版に ~混在コンテンツのダウンロードブロックでセキュリティを強化

メジャーバージョンアップのリリースサイクルは6週間から4週間へ

「Microsoft Edge」v94.0.992.31

 米Microsoftは9月24日(現地時間)、「Microsoft Edge」の最新安定(Stable)版v94.0.992.31を公開した。メジャーバージョンアップとなる「Edge 94」では、混合コンテンツのダウンロードをブロックする機能やプライベートネットワークのリクエストをHTTPS接続に制限する機能が導入されるなど、セキュリティのさらなる強化が図られている。

混在コンテンツをダウンロードした様子

 混在コンテンツ(mixed content)とは、HTTPS接続で暗号化されたWebページに含まれているHTTPコンテンツ(画像、動画、スタイルシート、スクリプトなど)のこと。HTTPS接続は第三者による盗聴や改竄を防止するうえで効果的だが、混在コンテンツはもちろん、そうした保護の対象外となる。そのため、たとえばダウンロードページがHTTPS接続になっているからと安心してプログラムをダウンロードし、実行すると、改竄されたプログラムがインストールされてしまい、システムを乗っ取られてしまうといったことが起こりうる。そのため、「Chromium」では段階的な混在コンテンツのブロックが進められてきた。

 「Edge 94」の場合、HTTPSページからダウンロードできるのは他のHTTPSページでホストされているものだけになる。ダウンロードを開始したのがHTTPSページからであれば、HTTPページでホストされたダウンロードはブロックされる。

 一方、プライベートネットワークの要求を安全なコンテキスト(HTTPS接続)に制限する取り組みも「Chromium」プロジェクト由来のものとなる。互換性を維持するためにHTTP要求を許可するには、「InsecurePrivateNetworkRequestAllowed」「InsecurePrivateNetworkRequestAllowedForUrls」ポリシーを有効化する必要がある。

 そのほかにも、本バージョンではアクセシビリティ関連のオプションを集約した設定ページ(edge://settings/accessibility)が新設された。Webページを拡大表示する機能やフォーカス領域に見やすくアウトライン(枠)を表示する機能(フォーカス強調)などがここから有効化できる。

アクセシビリティ関連のオプションを集約した設定ページ(edge://settings/accessibility)

 また、Webページを保存するMHTML形式の互換性が改善。「Edge」から保存したMHTMLファイルは「IE モード」ではなく標準の「Edge」でレンダリングされるようになった。こうすることにより、「IE モード」の互換性問題を解消できるという。

 「Edge 94」からリリースサイクルが短縮される点にも注意したい。

 なお、セキュリティ関連の修正は、CVE番号ベースで18件。「Google Chrome」v94.0.4606.54で修正された17件の問題に加え、v94.0.4606.61で修正された「Portals」における解放後メモリ利用(Use after free)の欠陥(CVE-2021-37973)が対処されている。この問題はすでに悪用事例の報告があるゼロデイ脆弱性で、一刻も早い対応が必要だ。

 「Microsoft Edge」はWindows/Macに対応しており、現在公式サイトから無償でダウンロード可能(Linux版もベータテスト中)。すでに「Microsoft Edge」を利用中の場合は、自動で更新されるため何もする必要はない。手動で更新したい場合は、画面左上のメニュー(“…”アイコン)から[ヘルプとフィードバック]-[Microsoft Edge について]画面(edge://settings/help)へアクセスするとよい。すぐにアップデートを受け取れない場合もあるので、その場合は時間をおいて再度試してみてほしい。