すでに攻撃が確認されているWebRTCの脆弱性、「Microsoft Edge」でも修正

「Microsoft Edge」v103.0.1264.49

　米Microsoftは7月6日（現地時間）、デスクトップ向け「Microsoft Edge」の最新安定（Stable）版v103.0.1264.49を公開した。脆弱性に対処したセキュリティアップデートとなっている。

　本バージョンで修正された脆弱性は、以下の2件。いずれも「Chromium」の問題で、「Google Chrome」でもv103.0.5060.114で解決されている。深刻度の評価はいずれも「High」。

• CVE-2022-2294：「WebRTC」におけるヒープバッファーオーバーフロー
• CVE-2022-2295：スクリプトエンジン「V8」における型混乱

　「CVE-2022-2294」はすでに悪用が確認されているとのことで、できるだけ早い対応が必要だ。

　デスクトップ版「Microsoft Edge」はWindows/Mac/Linuxに対応しており、現在公式サイトから無償でダウンロード可能。すでに「Edge」を利用中の場合は、自動で更新されるため何もする必要はない。手動で更新したい場合は、画面左上の［設定など］（…）メニューから［ヘルプとフィードバック］－［Microsoft Edge について］画面（edge://settings/help）へアクセスするとよい。

［編集部注］ Microsoftの「Security Update Guide」では脆弱性の内容とCVE番号の組み合わせが「Google Chrome」のリリースページの記述とあべこべになっています。悪用が確認されている『「WebRTC」におけるヒープバッファーオーバーフロー』のCVE番号は、「Google Chrome」のリリースページでは 「CVE-2022-2294」 となっているため、本稿では「Google Chrome」のリリースページの記述を採用しました。