Microsoft Edge Vulnerability Allows Remote Attackers to Execute Arbitrary Code
2026/06/05 CyberSecurityNews — Microsoft が公表したのは、脆弱なシステム上での任意のコード実行を攻撃者に許す、Edge に存在する深刻な脆弱性に対するセキュリティアップデートである。ただし、この脆弱性 CVE-2026-45495 (CVSSv3 7.5) の悪用の前提として、悪意の Web ページの閲覧や細工されたファイルの開封といった、ユーザー操作が必要である。
この脆弱性は、Edge におけるフィードバック・ログ・ファイル処理時の不適切な検証に起因する。具体的には、ユーザー指定のファイル・パスに対する不十分な検証により、そのままの状態でファイル操作が実行される問題である。
ユーザーによる悪意のファイルのオープンや、細工されたページへの誘導を仕掛ける攻撃者は、この脆弱性と他のバグを組み合わせることで、ログイン・ユーザー権限でのコード実行を可能にする。
このコードはカレント・ユーザー権限で実行されるため、その影響の範囲は、データ窃取/ブラウザ・プロファイル侵害/ローカル永続化/高権限環境におけるラテラル・ムーブメントに及ぶ。
公開アドバイザリによると、根本的な原因はフィードバック・ログ処理におけるパス検証不備にある。細工されたパスを指定する攻撃者は、意図しない場所へ向けたファイル操作を誘導できる。
Microsoft は、エクスプロイト・コードを公開していないが、この脆弱性の特性である [ファイルパス操作 + ユーザー操作] といった要件を介して、ソーシャル・エンジニアリング攻撃の主要攻撃ベクターが生じる可能性が高い。
今回のリリースにおいて Microsoft は、同一の研究チームが発見した別の 2 件の脆弱性についても修正を行った。
- CVE-2026-45494 (CVSS 5.0):ナビゲーション処理の不備によりクロスオリジン・スクリプト・インジェクションを引き起こす脆弱性 (ユーザー操作が必要)。
- CVE-2026-45492 (CVSS 4.3):クロス・デバイス管理サインインにおけるオリジン検証不備により、制限機能の露出などを引き起こす脆弱性。
すでに Microsoft は修正を公開しており、ユーザーおよび管理者に対して即時のアップデート適用を強く推奨している。
推奨対応:
- Microsoft Update または Edge About ページからの最新安定版への更新。
- 必要に応じて OS パッチも適用。
- 日常の利用における最小権限アカウントの使用
- メールやメッセージング・アプリにおける不審なリンクや添付ファイルの制限および精査。
- ブラウザ・プロセスに関連する異常なファイル操作や永続化の兆候を EDR (Endpoint Detection and Response) で監視。
この脆弱性は 2026年5月20日に報告され、2026年6月4日付けで調整済み公開アドバイザリとして公開/更新された。
訳者後書:Microsoft Edge の脆弱性 CVE-2026-45495 は、ブラウザにおけるファイルパスの不適切な検証に起因します。この確認の不備を突く攻撃者が用意した不正なパスを、そのまま受け入れてしまい、意図しない場所へのファイル操作やプログラムの実行が引き起こされます。ユーザーの操作をきっかけとして、ログイン権限でコードが実行されるため、データの安全性が脅かされるリスクが生じます。ご利用のチームは、ご注意ください。よろしければ、Microsoft Edge での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.