「Microsoft Edge 146」が公開、「Chromium」のゼロデイ脆弱性にも一部対処

「Microsoft Edge」v146.0.3856.59が展開中

　米Microsoftは2月13日（現地時間）、デスクトップ向け「Microsoft Edge」v146.0.3856.59を安定（Stable）チャネルでリリースした。「Edge 146」における主な変更は、以下の通り。

• 「Microsoft Edge for Business」に新規タブページ（NTP）が新しく（※）
• 1つのボックスからWeb検索、AIチャット、AIリサーチを始められる「Copilot New Tab Page」。「Copilot モード」で利用可能（パブリックプレビュー）
  
  

  「Copilot モード」で利用できる「Copilot New Tab Page」（パブリックプレビュー）
• デスクトップビジュアル検索（Desktop Visual Search）。デスクトップに設けられた「Edge」バーから画像を素早く「Bing 画像検索」に送り、被写体に関するより深い情報を得たり、テキストの抽出・翻訳が行える
• 「InPrivate」ブラウジングからトラッキング防止のトグルスイッチを削除。今後は通常のブラウジングと同じ設定を利用する（※）
• サイトの権限を管理するページを再設計（※）
• 「Microsoft 365 Copilot Chat」が現在開いている複数のタブへアクセスできるように、Webページをまたいだ質問にも答えられる（※）
  
  

  現在開いている複数のタブを「Copilot」チャットのコンテキストに追加できる
• 「Edge for Business」の「Microsoft 365 Copilot Chat」で、開いている「YouTube」動画に関する質問に答えられるように（※）
• ［閲覧データを削除する］ダイアログ（edge://settings/clearBrowserData）から「パスワード」項目を削除
  
  

  ［閲覧データを削除する］ダイアログ（edge://settings/clearBrowserData）
• 「保護されたネットワーク」（Edge Secure Network）を拡充し、IPアドレスから位置を推測するトラッカーからプライバシーを保護する「プライベートIP」（Private IP）に対応。「Edge」が既知のトラッカーを検出すると、「Secure Network」経由で再ルーティングしてユーザーのIPアドレスを隠す

　なお、これらの変更の一部（※がついた機能）は「Controlled Feature Rollout」（CFR）と呼ばれる仕組みで制御されており、段階的にロールアウトされる。そのため、「Edge 146」へアップデートしてもすぐに利用できるようになるとは限らない点には注意したい。

　そのほかにも、以下がアナウンスされている。

• 「コレクション」の提供終了。新規項目の追加が不能に。すでに保存した項目はエクスポートが可能
• 「macOS Monterey 12」のサポート終了。「Edge 150」が最後のサポートバージョンに
• 「Edge Workspace」のアーキテクチャーをV2へ移行。保存データが「OneDrive」「SharePoint」経由ではなく、「Edge Sync」サービスで同期されるようになる。
• カスタムプライマリパスワードの廃止。設定画面（edge://settings/autofill/passwords/settings）でパスワードを保護するパスワードを作成できなくなり、デバイス認証（「Windows Hello」など）へ自動的に移行される

セキュリティ修正

　脆弱性の修正は、全32件。うち31件は「Chromium」由来のものだ。

• CVE-2026-3913：Heap buffer overflow in WebML（Critical）
• CVE-2026-3914：Integer overflow in WebML（High）
• CVE-2026-3915：Heap buffer overflow in WebML（High）
• CVE-2026-3916：Out of bounds read in Web Speech（High）
• CVE-2026-3917：Use after free in Agents（High）
• CVE-2026-3918：Use after free in WebMCP（High）
• CVE-2026-3919：Use after free in Extensions（High）
• CVE-2026-3920：Out of bounds memory access in WebML（High）
• CVE-2026-3921：Use after free in TextEncoding（High）
• CVE-2026-3922：Use after free in MediaStream（High）
• CVE-2026-3923：Use after free in WebMIDI（High）
• CVE-2026-3924：Use after free in WindowDialog（High）
• CVE-2026-3925：Incorrect security UI in LookalikeChecks（Medium）
• CVE-2026-3926：Out of bounds read in V8（Medium）
• CVE-2026-3927：Incorrect security UI in PictureInPicture（Medium）
• CVE-2026-3928：Insufficient policy enforcement in Extensions（Medium）
• CVE-2026-3929：Side-channel information leakage in ResourceTiming（Medium）
• CVE-2026-3930：Unsafe navigation in Navigation（Medium）
• CVE-2026-3931：Heap buffer overflow in Skia（Medium）
• CVE-2026-3932：Insufficient policy enforcement in PDF（Medium）
• CVE-2026-3934：Insufficient policy enforcement in ChromeDriver（Medium）
• CVE-2026-3935：Incorrect security UI in WebAppInstalls（Medium）
• CVE-2026-3936：Use after free in WebView（Medium）
• CVE-2026-3937：Incorrect security UI in Downloads（Low）
• CVE-2026-3938：Insufficient policy enforcement in Clipboard（Low）
• CVE-2026-3939：Insufficient policy enforcement in PDF（Low）
• CVE-2026-3940：Insufficient policy enforcement in DevTools（Low）
• CVE-2026-3941：Insufficient policy enforcement in DevTools（Low）
• CVE-2026-3942：Incorrect security UI in PictureInPicture（Low）
• CVE-2026-3910：Inappropriate implementation in V8

　CVE-2026-3910は、パッチが提供される前に悪用が確認されたゼロデイ脆弱性だ。一刻も早い対処が望ましい。「Chromium」ではもう1件、「CVE-2026-3909」脆弱性の悪用がすでに確認されているが、この修正は含まれていないようだ。近日中にまたセキュリティアップデートが実施されるものと思われる。

　残りの1件は「Edge」固有の問題。Android版にのみ影響する。

• CVE-2026-0385：Microsoft Edge (Chromium ベース) for Android のスプーフィングの脆弱性

　デスクトップ版「Microsoft Edge」はWindows/Mac/Linuxに対応しており、現在公式サイトから無償でダウンロードできる。すでに「Microsoft Edge」を利用中の場合、待っていれば自動で更新されるが、手動での更新も可能。画面右上のメニュー（［…］アイコン）から［ヘルプとフィードバック］－［Microsoft Edge について］画面（edge://settings/help）へアクセスするとよい。