ニュース
「Microsoft Edge 105」が正式版に ~「Chromium」のゼロデイ脆弱性にも対処
64bit版Windows環境でWebAssemblyがセキュリティ強化モードでカバーされる
2022年9月5日 06:45
米Microsoftは9月1日(現地時間、以下同)、デスクトップ向け「Microsoft Edge」の最新安定(Stable)版v105.0.1343.25を公開した。「Edge 105」では、「Edge 104」に引き続きセキュリティ優先モードが強化され、64bit版Windows環境でWebAssemblyを利用できるようになった。
「Web上のセキュリティを強化する」機能(セキュリティ強化モード)は、JavaScriptの高速化よりも安全性を重視した動作モード。「ジャストインタイムコンパイル」(JIT)と呼ばれるJavaScriptエンジンの高速化技術を無効化する代わりに、これまでレンダラープロセスに導入できなかった「CET」や「ACG」といったセキュリティ強化策が有効になっているのが特徴だ。既定ではOFFとなっているが、[プライバシー、検索、サービス]設定画面(edge://settings/privacy)から有効化できる。
そのほかの変更は、主に企業向けが中心だ。セキュリティ関連では「Edge」固有のリモートコード実行の欠陥(CVE-2022-38012)が修正された。深刻度の評価は「Low」。
加えて、「Chromium」に関連する以下の15件の脆弱性が修正された。すべてに対処するには、2日に追加リリースされたセキュリティアップデート(v105.0.1343.27)を適用する必要があるので注意したい。
- CVE-2022-3058:Use after free in Sign-In Flow
- CVE-2022-3057:Inappropriate implementation in iframe Sandbox
- CVE-2022-3056:Insufficient policy enforcement in Content Security Policy
- CVE-2022-3055:Use after free in Passwords
- CVE-2022-3054:Insufficient policy enforcement in DevTools
- CVE-2022-3053:Inappropriate implementation in Pointer Lock
- CVE-2022-3047:Insufficient policy enforcement in Extensions API
- CVE-2022-3046:Use after free in Browser Tag
- CVE-2022-3045:Insufficient validation of untrusted input in V8
- CVE-2022-3044:Inappropriate implementation in Site Isolation
- CVE-2022-3041:Use after free in WebSQL
- CVE-2022-3040:Use after free in Layout
- CVE-2022-3039:Use after free in WebSQL
- CVE-2022-3038:Use after free in Network Service
- CVE-2022-3075:Insufficient data validation in Mojo
なかでも「CVE-2022-3038」は深刻度が最高の「Critical」と評価されており、警戒が必要。また、「CVE-2022-3075」はすでに悪用の報告があるとのこと。できるだけ早い対応が望ましい。
デスクトップ版「Microsoft Edge」はWindows/Mac/Linuxに対応しており、現在公式サイトから無償でダウンロード可能。すでに「Microsoft Edge」を利用中の場合は、自動で更新されるため何もする必要はない。手動で更新したい場合は、画面左上のメニュー([…]アイコン)から[ヘルプとフィードバック]-[Microsoft Edge について]画面(edge://settings/help)へアクセスするとよい。
