出典: Security NEXT – https://www.security-next.com/177394
Microsoft Edgeがゼロデイ脆弱性を修正するアップデートを公開
2025年11月18日、マイクロソフトはWebブラウザ「Microsoft Edge」のセキュリティアップデートをリリースしました。今回のアップデートは、悪用が確認されているゼロデイ脆弱性に対応した重要な修正となっています。
主要なポイント
- ゼロデイ脆弱性「CVE-2025-13223」の修正: Chromiumのスクリプトエンジン「V8」に存在する型の取り違え(Type Confusion)脆弱性が悪用されており、Microsoft Edgeはこの脆弱性を解消した最新バージョンを公開しました。
- 関連する脆弱性「CVE-2025-13224」も修正: 同じくV8エンジンに存在する別の脆弱性も今回のアップデートで対処されています。
- Google Chromeも同様のアップデートを実施: Googleは既にChromeブラウザ向けに同脆弱性を修正したアップデートをリリースしており、これらの脆弱性は「高(High)」の重要度に分類されています。
- 米CISAの評価: 米国のサイバーセキュリティインフラストラクチャセキュリティ庁(CISA)は、CVSSv3.1スコアで両脆弱性を「8.8」と評価し、高リスクの脆弱性として警告しています。
技術的な詳細や背景情報
今回修正された脆弱性「CVE-2025-13223」は、Chromiumプロジェクトが開発するJavaScriptエンジン「V8」における型の取り違え(Type Confusion)問題です。型の取り違えとは、プログラムがあるデータ型を別の型として誤認識し処理することで、予期しない動作やメモリ破壊を引き起こす脆弱性の一種です。
この脆弱性を悪用されると、攻撃者は任意のコードを実行できる可能性があり、ユーザーのシステムに深刻な被害を及ぼす恐れがあります。特にWebブラウザは外部のWebサイトを通じて攻撃されやすいため、迅速な対応が求められます。
Microsoft EdgeはChromiumをベースにしているため、Chromiumのアップデートを取り込む形で「Edge 142.0.3595.90」へとバージョンアップし、問題を解消しました。
影響や重要性
ゼロデイ脆弱性とは、開発者やベンダーが脆弱性を認識する前に攻撃者に悪用されている脆弱性を指します。今回の脆弱性は公表前から悪用が確認されており、ユーザーは攻撃にさらされるリスクが高い状態でした。
ブラウザは日常的にインターネットに接続し、多数のWebサイトを閲覧するため、脆弱性が放置されると大規模な被害につながる可能性があります。したがって、ユーザーは速やかにMicrosoft Edgeを最新バージョンにアップデートすることが強く推奨されます。
また、Google Chromeも同様のアップデートを行っているため、Chromeユーザーも同様に早急な更新が必要です。
まとめ
Microsoft Edgeの最新アップデートは、ChromiumのJavaScriptエンジン「V8」に存在した重大なゼロデイ脆弱性を修正しました。これらの脆弱性はすでに悪用が確認されており、高いリスクを伴います。ユーザーは速やかにブラウザを最新版に更新し、安全なインターネット利用を心がけましょう。
