Microsoft Edge の脆弱性 CVE-2024-21326 などが FIX:直ちにアップデートを!

CVE-2024-21326 (CVSS 9.6): One Click Could Compromise Microsoft Edge

2024/01/28 SecurityOnline — Microsoft Edge のセキュリティ・アップデートがリリースされ、Chromium の脆弱性に対する独自の修正プログラムの実装が完了した。Microsoft が公開したのは、Google Chromium 121.0.6167.85/.86 をベースにした、MS Edge 121.0.2277.83 である。

Chromium で、CVE 識別子が割り当てられていた、11件の脆弱性が修正された。さらに、MS Edge 固有の6件の脆弱性も修正された。修正された脆弱性のうち、Microsoft Edge における権限昇格の脆弱性 CVE-2024-21326 (CVSS:9.6)/CVE-2024-21385 (CVSS:8.3) は、深刻度 Important と評価されている。

CVE-2024-21326

Microsoft は、CVE-2024-21326 に関するドキュメントの中で、「Web ベースの攻撃シナリオにおいて、攻撃者がホストする Web サイトには、脆弱性を悪用するように設計されたファイルが取り込まれている。なお、それらの Web サイトは、ユーザーが提供するコンテンツを受け入れてホストするものである。しかし、攻撃者は、ユーザーを強制的に Web サイトにアクセスさせることは出来ない。したがって、通常はメールやインスタント・メッセンジャーのメッセージでユーザー誘導し、リンクをクリックさせて、悪意のファイルを開くよう説得する必要がある」と詳述している。

さらに同社は、「この脆弱性が悪用されると、Web ブラウザの完全な侵害につながる可能性がある」と警告している。

上記の脆弱性の他にも、深刻度 Moderate と Low の脆弱性も解決されている。Microsoft Edge 121.0.2277.83/120.0.2210.160 (Extended Stable) で修正された脆弱性は、以下の通りだ:

  • CVE-2024-0807 (High):WebAudio の解放済みメモリの使用の脆弱性 (報告者:mAnt Group Light-Year Security Lab の Huang Xilin/2023年11月25日)
  • CVE-2024-0812 (High):アクセシビリティにおける不適切な実装の脆弱性 (報告者:Anonymous/2023年9月19日)
  • CVE-2024-0808 (High):WebUI における整数アンダーフローの脆弱性 (報告者:Lyra Rebane (rebane2001)/2023年11月24日)
  • CVE-2024-0810 (Medium):DevTools における、不十分なポリシー実施の脆弱性 (報告者:Shaheen Fazim/2023年10月26日)
  • CVE-2024-0814 (Medium):ペイメントにおける不正なセキュリティ UI の脆弱性 (報告者:Muneaki Nishimura (nishimunea)/2023年7月11日) 
  • CVE-2024-0813 (Medium):リーディングモードにおける解放済みメモリの使用の脆弱性 (報告者:@retsew0x01/2023年8月30日)
  • CVE-2024-0806 (Medium):パスワードにおける解放済みメモリの使用の脆弱性 (報告者:18楼梦想改造家/2023年11月25日)
  • CVE-2024-0805 (Medium):ダウンロードにおける不適切な実装の脆弱性 (報告者:Om Apip/2024年1月1日)
  • CVE-2024-0804 (Medium):iOS セキュリティ UI の不十分なポリシー実施の脆弱性 (報告者:Suma Soft Pvt. Ltd. の Narendra Bhati、Pune (India)/2024年1月3日)
  • CVE-2024-0811 (Low):拡張 API の不適切な実装の脆弱性 (報告者:Google Project Zero/2023年10月21日)
  • CVE-2024-0809 (Low)オートフィルにおける不適切な実装 (報告者:Ahmed ElMasry/2023年10月31日)
  • CVE-2024-21382 (Moderate):Android 版 Microsoft Edge に情報漏えいの脆弱性
  • CVE-2024-21387 (Moderate):Android 版 Microsoft Edge の成りすましの脆弱性
  • CVE-2024-21383 (Low):Microsoft Edge (Chromium ベース) の成りすましの脆弱性
  • CVE-2024-21336 (Low):Microsoft Edge (Chromium-based) の成りすましの脆弱性

このブログで拾っている中で、直近の Chrome 記事は 2024/01/21 の「Google Chrome の脆弱性 CVE-2024-0517:PoC エクスプロイトが公開」となります。ベースとなる Chromium のバージョンが分かりませんが、Edge も Chrome も、似たようなタイミングでシッカリとアップデートしているようです。よろしければ、Edge で検索も、ご利用ください。