今回は、Microsoft Edge にアップデート来ていたので、この件について書きます。
Microsoft Edge をアップデートしよう(83.0.478.45)
まずは、現在のバージョンを確認します。
現在のバージョンを確認しよう
- Microsoft Edgeを起動します。
- […] > [ ヘルプとフィードバック(B) ] > [ Microsoft Edge について(M) ] を選択します。
- 更新があるようです。更新中処理になりました。
現在は、83.0.478.44 となっています。
83.0.478.44→83.0.478.45
- [はい]を選択します。
- [再起動] を選択します。
- Microsoft Edgeが再起動されます。
アップデート内容を確認します。
こちらによると、
バージョン83.0.478.45:6月4日
セキュリティアップデートのようです。
さらにたどると、
セキュリティアップデートの内容へのリンクがあります。
によると、CVEベースで以下の4件の脆弱性を修正しています。
ってこれってどこかで見たCVE番号だとおもったら、先日 Chrome の 83.0.4103.97でアップデートした内容の一部ですねぇ。Edgeは、Chromeと同じChromiumオープンソースなので同じ不具合があったということでしょうか。
CVE-2020-6493
重要度:High
内容:WebAuthentication の Use After free の脆弱性
詳細:この脆弱性により、リモートの攻撃者が脆弱なシステムを侵害する可能性があります。この脆弱性は、Microsoft EdgeのWebAuthenticationコンポーネント内の解放後使用エラーが原因で発生します。リモートの攻撃者は、特別に細工したWebページを作成し、被害者をだましてそのページを訪問させ、解放後使用エラーをトリガーし、ターゲットシステム上で任意のコードを実行できます。この脆弱性の不正利用に成功すると、攻撃者が脆弱なシステムを侵害する可能性があります。
CVE-2020-6494
重要度:High
内容:支払いのセキュリティUIの入力検証が不十分な脆弱性
詳細:この脆弱性により、リモートの攻撃者がスプーフィング攻撃を実行できるようになります。この脆弱性は、Microsoft Edgeでの支払いにおけるユーザー提供の入力の検証が不十分なために発生します。リモートの攻撃者は、特別に細工したWebページを作成し、被害者をだましてアクセスさせ、Webページのコンテンツを偽装することができます
CVE-2020-6495
重要度:High
内容:開発者ツールのポリシー施行が不十分な脆弱性
詳細:この脆弱性により、リモートの攻撃者は実装されたセキュリティ制限を回避することができます。この脆弱性は、Microsoft Edgeの開発者ツールでのポリシーの施行が不十分なために発生します。リモートの攻撃者は、被害者をだまして特別に細工したWebサイトにアクセスさせ、実装されているセキュリティ対策を回避し、影響を受けるシステムを危険にさらすことができます。
CVE-2020-6496
重要度:High
内容:支払い後の Use After free の脆弱性
詳細:この脆弱性により、リモートの攻撃者が脆弱なシステムを侵害する可能性があります。この脆弱性は、Microsoft Edgeの支払いコンポーネント内の解放後使用エラーが原因で発生します。リモートの攻撃者は、特別に細工したWebページを作成し、被害者をだましてそのページを訪問させ、解放後使用エラーをトリガーし、ターゲットシステム上で任意のコードを実行できます。この脆弱性の不正利用に成功すると、攻撃者が脆弱なシステムを侵害する可能性があります。
まとめ
Chromeの83.0.4103.97のアップデートでは、このほかにも、重要度 Mediumですが、CVE-2020-6497/CVE-2020-6498も修正されていたので、Edgeも近日中にまたバージョンアップのある可能性もありますねぇ。
関連情報
Microsoft Edge release notes for Stable Channel | Microsoft Docs
Release notes for Microsoft Edge Security Updates | Microsoft Docs
ADV200002 | Microsoft EdgeのChromiumセキュリティアップデート(Chromiumベース)
0 件のコメント:
コメントを投稿