Patch Your Edge Now: Critical Sandbox Escape Vulnerability (CVE-2023-35618)
2023/12/08 SecurityOnline — Microsoft Edge Stable Channel の更新プログラム (120.0.2210.61) のリリースにより、複数の深刻なセキュリティ脆弱性への対処が完了した。 これらの脆弱性の悪用に成功した攻撃者は、影響を受けるシステム上で、リモート・コード実行/特権昇格/機密情報の漏えいなどを引き起こす可能性がある。
今回のアップデートで修正された脆弱性は下記の通りである:
- CVE-2023-38174 (CVSS 4.3):情報漏えいの脆弱性。流出する可能性がある情報の範囲は限られており、機密データ流出の危険性はない。
- CVE-2023-35618 (CVSS 9.6):深刻な権限昇格の脆弱性であり、ブラウザのサンドボックス・エスケープにつながる可能性がある。攻撃者がホストする Web サイトに、この脆弱性を悪用するように設計されたファイルが配置される可能性がある。また、ユーザー提供のコンテンツを受け入れる、侵害された Web サイトが悪用される可能性もある。悪用に成功した攻撃者は、権限昇格を達成し、コード実行が可能になる。
- CVE-2023-36880 (CVSS 4.8):情報漏えいの脆弱性であり、機密情報漏えいのリスクは限定的である。悪用するためには、特定の環境情報と準備行動が必要となる。
これらの脆弱性に対処するには:
CVE-2023-38174/CVE-2023-36880 により開示される情報は限定的であり、機密情報とはみなされないが、CVE-2023-35618 は深刻なリスクをもたらす。この脆弱性が悪用された場合には、攻撃者によるシステムの不正な制御が発生し、データ窃取にいたる可能性がある。
Microsoft Edge ユーザーにとって必要なのは、可能な限り早急に、最新バージョン 120.0.2210.61 へとアップデートすることである。ブラウザのアップデート手順は、下記の通りである:
- Microsoft Edge を開く。
- ウィンドウの右上にある [・・・] をクリックする。
- Help and feedback > About Microsoft Edge を選択する。
- アップデートの確認が自動的に行われる。更新プログラムがある場合は、自動的にダウンロード/インストールされる。
Microsoft Edge の脆弱性ですが、特に CVE-2023-35618 は危険度が高いので、ご注意ください。お隣のキュレーション・チームに聞いてみたところ、12月9日付でレポートしているとのことでした。また、Chromium には関係のない脆弱性で、Edge 固有のものと言っていました。よろしければ、Edge で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.