「Microsoft Edge」でも「V8」サイドチャネル脆弱性 ～AIが発見した脆弱性を修正

「Microsoft Edge」v140.0.3485.94

　米Microsoftは9月25日（現地時間）、デスクトップ向け「Microsoft Edge」v140.0.3485.94を安定（Stable）チャネルでリリースした。本バージョンでは、「Edge for Business」のデータ損失防止（DLP）が強化。管理されていないデバイス、もしくはBYOD（業務で利用する私物PC）で業務クラウドアプリにデータを共有したり、そこからデータを流出させるケースを想定し、情報漏洩防止のためのポリシーを設定できるようになった。

　そのほかにも、以下の脆弱性修正が行われている。

• CVE-2025-10890：Side-channel information leakage in V8（High）
• CVE-2025-10891：Integer overflow in V8（High）
• CVE-2025-10892：Integer overflow in V8（High）

　深刻度の評価は、最大で「High」。そのうち「CVE-2025-10891」と「CVE-2025-10892」は、Google DeepMindとProject Zeroが脆弱性検出のために共同開発した大規模言語モデル（LLM）「Big Sleep」によって発見されたものだ。「Google Chrome」でも、先日のアップデートで修正されている。

　また、「Edge」独自の脆弱性として以下が修正されているようだ。

• CVE-2025-59251：Microsoft Edge (Chromium ベース) のリモートでコードが実行される脆弱性

　デスクトップ版「Microsoft Edge」はWindows/Mac/Linuxに対応しており、現在公式サイトから無償でダウンロード可能。すでに「Microsoft Edge」を利用中の場合は、自動で更新されるため何もする必要はない。手動で更新したい場合は、画面右上のメニュー（［…］アイコン）から［ヘルプとフィードバック］－［Microsoft Edge について］画面（edge://settings/help）へアクセスするとよい。