今回は、Microsoft Edge にアップデート来ていたので、この件について書きます。
Microsoft Edge をアップデートしよう(83.0.478.54)
まずは、現在のバージョンを確認します。
現在のバージョンを確認しよう
- Microsoft Edgeを起動します。
- […] > [ ヘルプとフィードバック(B) ] > [ Microsoft Edge について(M) ] を選択します。
- すでに、83.0.478.45→
83.0.478.50 となっていました。見逃した( ゚Д゚)。
いや、違います。最新バージョンは、83.0.478.54 です。
83.0.478.50は、6/15リリースです。←これを見逃しました。
83.0.478.54は、6/17リリースです。←これはまだなので実施します。
83.0.478.50→83.0.478.54にアップデートしよう
といってもまだ、未配信のようなので、Edgeのバージョン情報みるだけでは、更新されませんでした。
公式サイトからダウンロードして上書きインストールしてみます。
がしかし、ネットワークインストールの処理は動いていたのですが、バージョン情報を見ても83.0.478.50のままです。
しかも、そのあとEdgeを再起動すると、起動しなくなっていました。トラブル発生です。
まぁ、リリースされたばかりです。気を取り直して、クリアインストールしてみます。
しかし、インストールされたものは、83.0.478.50でした。
しかたありません。最後の手段、ビジネス向けMicrosoft Edgeをダウンロードしてインストールしてみます。
(2020/06/18)
手順
- Microsoft Edgeを起動して、Microsoft Edgeのビジネスサイトに行きます。
- ライセンス条項をよく読んで、[ 同意してダウンロード ] を選択します。
- ダウンロードされるファイルも [ MicrosoftEdgeEnterpriseX64.msi ] となっています。[ ファイルを開く ] を選択します。
- 表示されるインストールウィザードもちょっと違います。
- [ はい ] を選択します。
- インストールウィザードが走ります。
- Edgeのバージョン情報画面が表示されます。ここではまだ、83.0.478.50 です。[ 再起動 ] を選択します。
- 再起動後、バージョン情報画面できちんと
83.0.478.54 になりました。
ここでは、バージョン指定ができるので、確実に、83.0.478.54 が入手できます。
こんな風に無理やりアップデートしたわけですが、別にそんな必要はありません。バージョン情報画面で普通に個人用に配信されてからアップデートしましょう。 (2020/06/18)
アップデート内容を確認します。
83.0.478.45→83.0.478.50
Version 83.0.478.50:June 15
によると、不具合修正とパフォーマンス改善のみのようです。
83.0.478.50→83.0.478.54
June 17, 2020
によると、こちらはセキュリティアップデートのようです。
さらにたどると、
セキュリティアップデートの内容へのリンクがあります。
によると、CVEベースで以下の3件の脆弱性を修正しています。
先日 Chrome の 83.0.4103.106で対応した脆弱性と同じものです。なので、実際は、5件の問題が修正されています。
重要度は、4件が4段階中2番目の「High」、1件が4段階中3番目の「Medium」となっています。
カッコ内はchromium Tracking番号です
CVE-2020-6505(1081350)
重要度:High
内容:読み上げ機能における解放済みメモリ利用(use-after-free)の脆弱性
危険性:この脆弱性により、リモートの攻撃者は脆弱なシステムを侵害することができます。この脆弱性は、Google Chromeの音声コンポーネント内の解放後使用エラーが原因で発生します。リモートの攻撃者は、特別に細工したWebページを作成し、被害者をだましてそのページを訪問させ、解放後使用エラーをトリガーし、ターゲットシステム上で任意のコードを実行できます。この脆弱性の不正利用に成功すると、攻撃者が脆弱なシステムを侵害する可能性があります。
CVE-2020-6506(1083819)
重要度:High
内容:「WebView」でポリシーの適用が十分でない脆弱性
危険性:この脆弱性により、リモートの攻撃者は実装されたセキュリティ制限を回避することができます。この脆弱性は、Google ChromeのWebViewでのポリシー施行が不十分なために発生します。リモートの攻撃者は、被害者をだまして特別に細工したWebサイトにアクセスさせ、実装されたセキュリティ対策を回避し、影響を受けるシステムを危険にさらすことができます。
CVE-2020-6507(1086890)
重要度:High
内容:スクリプトエンジン「V8」における境界外書き込みの脆弱性
危険性:この脆弱性により、リモートの攻撃者は脆弱なシステムを侵害することができます。この脆弱性は、V8で信頼できないHTMLコンテンツを処理する際の境界エラーが原因で発生します。リモートの攻撃者は、特別に細工したWebページを作成し、被害者をだまして開かせ、範囲外の書き込みをトリガーし、ターゲットシステムで任意のコードを実行できます。
CVE未採番のものが一つあります。ただし、内在している問題の修正は2件のようです。
1084009/1075907 (chromium Tracking番号)
重要度:High
内容:メモリ破損
危険性:この脆弱性により、リモートの攻撃者がターゲットシステムで任意のコードを実行することが可能になります。この脆弱性は、HTMLコンテンツを処理する際の境界エラーが原因で発生します。リモートの攻撃者は、特別に細工したWebページを作成し、被害者をだまして開かせ、メモリ破損を引き起こし、ターゲットシステムで任意のコードを実行する可能性があります。この脆弱性の悪用に成功すると、脆弱なシステムが完全に侵害される可能性があります。
1084009/1051439 (chromium Tracking番号)
重要度:Medium
内容:セキュリティ制限のバイパス
危険性:この脆弱性により、リモートの攻撃者はセキュリティ制限を回避できます。不特定のエラーが原因で脆弱性が存在します。リモートの攻撃者は、課されたセキュリティ制限を回避したり、機密情報にアクセスしたりできます。
まとめ
今回は重要度高が含まれる危険度の高い脆弱性の修正です。確実にアップデートしておきましょう。自動更新もすぐにリリースされると思うので、普段使いじゃない人は、それまでは使用を控えるという手もありますね。(2020/06/18)
関連情報
Microsoft Edge release notes for Stable Channel | Microsoft Docs
Microsoft Edge release notes for Stable Channel | Microsoft Docs
Release notes for Microsoft Edge Security Updates | Microsoft Docs
ADV200002 | Chromium Security Updates for Microsoft Edge (Chromium-Based)
0 件のコメント:
コメントを投稿