「Microsoft Edge」に緊急アップデート、悪用の報告のある脆弱性に対処

「Microsoft Edge」v104.0.1293.63

　米Microsoftは8月17日（現地時間、以下同）、デスクトップ向け「Microsoft Edge」の最新安定（Stable）版v104.0.1293.60を公開した。このバージョンは、「Chromium」で発見されたゼロデイ脆弱性に対処したもの。このバージョンの「Chromium」では複数の脆弱性が修正されているが、なかでもインテントで信頼できない入力の検証が不十分な問題（CVE-2022-2856）の悪用が確認されている。そのため、「CVE-2022-2856」にだけ対処したバージョンが先行公開された。深刻度は「High」。

　続けて、19日にはv104.0.1293.63がリリースされた。残りの脆弱性に対処したセキュリティアップデートとなっている（括弧内は深刻度の評価）。

• CVE-2022-2852：Use after free in FedCM（Critical）
• CVE-2022-2853：Heap buffer overflow in Downloads（High）
• CVE-2022-2854：Use after free in SwiftShader（High）
• CVE-2022-2855：Use after free in ANGLE（High）
• CVE-2022-2857：Use after free in Blink（High）
• CVE-2022-2858：Use after free in Sign-In Flow（High）
• CVE-2022-2860：Insufficient policy enforcement in Cookies（Medium）
• CVE-2022-2861：Inappropriate implementation in Extensions API（Medium）

　とくに「Federated Credential Management API」（FedCM）における解放後メモリ利用（Use after free）の欠陥（CVE-2022-2852）は、もっとも深刻度の高い「Critical」と評価されており注意が必要だ。できるだけ早い対処をお勧めする。

　デスクトップ版「Microsoft Edge」はWindows/Mac/Linuxに対応しており、現在公式サイトから無償でダウンロード可能。すでに「Microsoft Edge」を利用中の場合は、自動で更新されるため何もする必要はない。手動で更新したい場合は、画面左上のメニュー（［…］アイコン）から［ヘルプとフィードバック］－［Microsoft Edge について］画面（edge://settings/help）へアクセスするとよい。すぐにアップデートを受け取れない場合もあるので、その場合は時間をおいて再度試してみてほしい。

画面左上のメニュー（［…］アイコン）から［ヘルプとフィードバック］－［Microsoft Edge について］画面（edge://settings/help）へアクセス