出典: Security NEXT – https://www.security-next.com/181865
Microsoft Edgeにクリティカルな脆弱性を修正する最新アップデートが公開
2026年3月6日、マイクロソフトはウェブブラウザ「Microsoft Edge」の最新版(バージョン145.0.3800.97)をリリースしました。今回のアップデートでは、特に深刻度の高い「クリティカル」レベルの脆弱性を含む、合計9件のセキュリティ問題が修正されています。
主要なポイント
- クリティカル脆弱性の修正:描画コンポーネント「ANGLE」とグラフィックスライブラリ「Skia」における整数オーバーフローの脆弱性(CVE-2026-3536、CVE-2026-3538)が解消されました。これらはリモートコード実行など重大な攻撃につながる可能性があります。
- 合計9件の脆弱性を修正:今回のアップデートでは、その他にも7件の脆弱性(CVE-2026-3539~CVE-2026-3545)を含め、計9件の問題が修正されています。
- Chromeとの連携:Google Chromeの同時期アップデート(Chromium 145.0.7632.159/160)に合わせてリリースされており、Chromeで修正された「PowerVR」のクリティカル脆弱性(CVE-2026-3537)はEdgeにはまだ適用されていません。
- 迅速な対応の重要性:クリティカルな脆弱性は攻撃者に悪用されるリスクが高いため、ユーザーは速やかに最新バージョンへアップデートすることが推奨されます。
技術的な詳細や背景情報
今回修正された脆弱性のうち、「整数オーバーフロー」とは、プログラムが扱う整数の最大値を超えた際に発生するエラーで、これを悪用するとメモリ破壊や任意コードの実行が可能になる場合があります。具体的には、Microsoft Edgeの描画処理に関連する「ANGLE」や「Skia」というグラフィックスライブラリで発見されました。
「ANGLE」はDirect3DやOpenGLなど異なるグラフィックスAPI間の互換性を提供するコンポーネントであり、「Skia」はGoogleが開発した2Dグラフィックスライブラリです。これらはブラウザの描画性能に直結するため、脆弱性の影響は非常に大きいといえます。
また、CVE番号は「Common Vulnerabilities and Exposures」の略で、世界共通の脆弱性識別番号です。今回修正された9件のCVEは2026年に報告されたもので、セキュリティコミュニティで共有されています。
影響や重要性
Microsoft EdgeはWindowsをはじめ多くの環境で利用されているため、これらの脆弱性が悪用されると、ユーザーの個人情報漏洩やシステムの乗っ取りなど深刻な被害が発生する恐れがあります。特に「クリティカル」評価の脆弱性は、攻撃者がリモートから容易に悪用可能であることを意味し、迅速なパッチ適用が不可欠です。
また、今回のアップデートはGoogle Chromeのアップデートと連動しており、Chromiumベースのブラウザ全体でのセキュリティ強化が図られています。ユーザーはEdgeだけでなく、Chromeなど他のブラウザも最新の状態に保つことが重要です。
まとめ
Microsoft Edgeの最新アップデート(145.0.3800.97)は、クリティカルな整数オーバーフロー脆弱性を含む9件のセキュリティ問題を修正しました。これらの脆弱性はブラウザの描画コンポーネントに関わるもので、悪用されると深刻な被害をもたらす可能性があります。ユーザーは速やかに最新版へアップデートし、安全なブラウジング環境を維持しましょう。
