「Microsoft Edge 94」が安定版に ～混在コンテンツのダウンロードブロックでセキュリティを強化

「Microsoft Edge」v94.0.992.31

　米Microsoftは9月24日（現地時間）、「Microsoft Edge」の最新安定（Stable）版v94.0.992.31を公開した。メジャーバージョンアップとなる「Edge 94」では、混合コンテンツのダウンロードをブロックする機能やプライベートネットワークのリクエストをHTTPS接続に制限する機能が導入されるなど、セキュリティのさらなる強化が図られている。

混在コンテンツをダウンロードした様子

　混在コンテンツ（mixed content）とは、HTTPS接続で暗号化されたWebページに含まれているHTTPコンテンツ（画像、動画、スタイルシート、スクリプトなど）のこと。HTTPS接続は第三者による盗聴や改竄を防止するうえで効果的だが、混在コンテンツはもちろん、そうした保護の対象外となる。そのため、たとえばダウンロードページがHTTPS接続になっているからと安心してプログラムをダウンロードし、実行すると、改竄されたプログラムがインストールされてしまい、システムを乗っ取られてしまうといったことが起こりうる。そのため、「Chromium」では段階的な混在コンテンツのブロックが進められてきた。

　「Edge 94」の場合、HTTPSページからダウンロードできるのは他のHTTPSページでホストされているものだけになる。ダウンロードを開始したのがHTTPSページからであれば、HTTPページでホストされたダウンロードはブロックされる。

　一方、プライベートネットワークの要求を安全なコンテキスト（HTTPS接続）に制限する取り組みも「Chromium」プロジェクト由来のものとなる。互換性を維持するためにHTTP要求を許可するには、「InsecurePrivateNetworkRequestAllowed」「InsecurePrivateNetworkRequestAllowedForUrls」ポリシーを有効化する必要がある。

　そのほかにも、本バージョンではアクセシビリティ関連のオプションを集約した設定ページ（edge://settings/accessibility）が新設された。Webページを拡大表示する機能やフォーカス領域に見やすくアウトライン（枠）を表示する機能（フォーカス強調）などがここから有効化できる。

アクセシビリティ関連のオプションを集約した設定ページ（edge://settings/accessibility）

　また、Webページを保存するMHTML形式の互換性が改善。「Edge」から保存したMHTMLファイルは「IE モード」ではなく標準の「Edge」でレンダリングされるようになった。こうすることにより、「IE モード」の互換性問題を解消できるという。

　「Edge 94」からリリースサイクルが短縮される点にも注意したい。

　なお、セキュリティ関連の修正は、CVE番号ベースで18件。「Google Chrome」v94.0.4606.54で修正された17件の問題に加え、v94.0.4606.61で修正された「Portals」における解放後メモリ利用（Use after free）の欠陥（CVE-2021-37973）が対処されている。この問題はすでに悪用事例の報告があるゼロデイ脆弱性で、一刻も早い対応が必要だ。

　「Microsoft Edge」はWindows/Macに対応しており、現在公式サイトから無償でダウンロード可能（Linux版もベータテスト中）。すでに「Microsoft Edge」を利用中の場合は、自動で更新されるため何もする必要はない。手動で更新したい場合は、画面左上のメニュー（“…”アイコン）から［ヘルプとフィードバック］－［Microsoft Edge について］画面（edge://settings/help）へアクセスするとよい。すぐにアップデートを受け取れない場合もあるので、その場合は時間をおいて再度試してみてほしい。