出典: Security NEXT – https://www.security-next.com/182225
Microsoft Edgeが2度にわたり緊急アップデートを実施 – ゼロデイ脆弱性を修正
マイクロソフトは、同社のウェブブラウザ「Microsoft Edge」において、2件のゼロデイ脆弱性を修正するために2度の緊急アップデートを公開しました。これらの脆弱性は、Edgeの基盤となるオープンソースのブラウザエンジン「Chromium」に起因しています。
主要なポイント
- 2件のゼロデイ脆弱性の発見と修正:Chromiumに存在した「CVE-2026-3910」と「CVE-2026-3909」という2つのゼロデイ脆弱性が判明し、それぞれに対応したアップデートがMicrosoft Edgeに反映されました。
- アップデートのスケジュール:2026年3月13日に「CVE-2026-3910」を修正したEdge 146.0.3856.59がリリースされ、続いて3月16日に「CVE-2026-3909」を修正したEdge 146.0.3856.62が公開されました。
- 脆弱性の内容:特に「CVE-2026-3910」は、JavaScriptエンジン「V8」の実装不備により、細工されたHTMLページを処理した際にサンドボックス環境内で任意のコードが実行される恐れがある深刻な問題です。
- Chromiumベースのブラウザ全般への影響:今回の脆弱性はChromiumに起因しているため、Microsoft Edge以外のChromium派生ブラウザも同様のリスクにさらされている可能性があります。
技術的な詳細や背景情報
Microsoft EdgeはGoogleが開発するオープンソースのブラウザエンジン「Chromium」をベースに構築されています。Chromiumは高速かつ安全なブラウザ体験を提供するために広く採用されていますが、その分脆弱性が発見されると多くのブラウザに影響が及びます。
今回の「CVE-2026-3910」は、ChromiumのJavaScriptエンジン「V8」に存在する実装不備に関するもので、細工されたHTMLページを処理する際に、ブラウザのサンドボックス(隔離された安全な実行環境)を突破して任意のコードを実行できる可能性があるため、非常に危険です。
「CVE-2026-3909」についての詳細は公開されていませんが、同様にChromiumのコア部分に関わる脆弱性であることから、迅速な対応が求められました。
影響や重要性
ゼロデイ脆弱性とは、開発者やベンダーが認識する前に悪用される可能性のあるセキュリティホールのことを指します。今回のようにゼロデイ脆弱性がブラウザに存在すると、ユーザーは悪意あるウェブサイトを訪問するだけでマルウェア感染や情報漏洩のリスクにさらされます。
Microsoft Edgeは多くの企業や個人ユーザーに利用されているため、迅速なアップデート提供は被害拡大を防ぐ上で極めて重要です。また、Chromiumベースの他のブラウザも同様の脆弱性を抱える可能性があるため、ユーザーはブラウザの最新バージョンへの更新を怠らないことが推奨されます。
まとめ
Microsoft EdgeはChromiumに起因する2件のゼロデイ脆弱性を受け、2026年3月に2度にわたり緊急アップデートを実施しました。特にJavaScriptエンジン「V8」の脆弱性は、悪意あるコードの実行を許す深刻な問題であり、ユーザーは速やかにブラウザを最新版に更新する必要があります。今後もChromiumベースのブラウザを利用する際は、セキュリティアップデートを欠かさず適用し、安全なインターネット利用を心がけましょう。
