Escaping the Sandbox: CVE-2024-21399 Microsoft Edge RCE Vulnerability
2024/02/04 SecurityOnline — Microsoft Edge のセキュリティ・アップデートがリリースされ、複数の脆弱性が修正された。Chromium に起因する Chrome の脆弱性は、Mac/Linux 向けのバージョン121.0.6167.139 および、Windows 向けの 121.0.6167.139/140 で対処されてきたが、それに続くかたちで、Microsoft Edge のバージョン 121.0.2277.98 が発表された。
このアップデートは、Chromiumにおいて確認/修正されてきた3件の脆弱性の修正に加えて、深刻な影響を及ぼす脆弱性 CVE-2024-21399 にも対処している。この脆弱性が悪用されると、リモート・コード実行にいたる恐れがある。
Microsoft は、「Edge の脆弱性を悪用するように設計された、特別に細工された Web サイトをホストする攻撃者は、その Web サイトをユーザーに閲覧させるように仕向ける。ただし、攻撃者が管理するコンテンツを、ユーザーに強制的に閲覧させる方法はない。その代わりに攻撃者は、電子メールやインスタント・メッセージの誘い文句や、電子メールで送信された添付ファイルなどを介して、ユーザーを欺く必要がある」と述べている。
この脆弱性を悪用するための条件は複雑であり、ユーザーとのインタラクションを必要とする。CVSS v3.1 では、この脆弱性の基本スコアを 8.3 とし、深刻度を中程度としている。
Microsof は、「この脆弱性は、Web ブラウザのサンドボックスからの脱出につながる可能性がある。現在までのところ、この脆弱性の悪用や公開は確認されていない」と付け加えている。
さらに Microsoft は、Edge 121.0.2277.98 のリリースと同時に、Chromium 120.0.6099.276 をベースにした拡張安定版である Microsoft Edge 120.0.2210.167 も提供している。
本アップデートで対応する脆弱性は、以下の通りである:
- High CVE-2024-1060: Use after free in Canvas.
- High CVE-2024-1059: Use after free in WebRTC
- High CVE-2024-1077: Use after free in Network.
- High CVE-2024-21399: Remote Code Execution Vulnerability
Chromium の3件の脆弱性が Edge 上でも FIX とのことですが、Edge 固有の脆弱性 CVE-2024-21399 に注意が必要とのことです。2024/01/28 の「Microsoft Edge の脆弱性 CVE-2024-21326 などが FIX:直ちにアップデートを!」でも、いくつかの Edge 固有の脆弱性が FIX されていました。よろしければ、Edge で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.