ニュース

Microsoft EdgeのRCE脆弱性情報が公開、6月提供の修正パッチ情報が更新

Windows 10/Windows Server 2016が対象、サポート終了の1507にも影響

 Microsoftは4日、Windows 10とWindows Server 2016の標準ウェブブラウザー「Microsoft Edge」におけるリモートからコード実行可能(RCE)な脆弱性の情報を公開した。この脆弱性を修正するセキュリティ更新プログラム(修正パッチ)は6月に定例公開されている。深刻度は4段階で最も高い“緊急”に分類されており、早急なパッチの適用が推奨されている。

 脆弱性「CVE-2017-8518」は、Microsoft Edgeにおいて、メモリ内のオブジェクト処理による不具合が原因で、攻撃者が特別に細工したウェブサイトをMicrosoft Edgeで表示した場合に、現在のユーザー権限でリモートから任意のコードが実行される可能性があるもの。なお、6月に修正パッチが公開された際には、この脆弱性についての情報は公開されていなかった。

 対象となるのは、Windows 10のバージョン「1703」(Creators Update)、「1607」(Anniversary Update)、「1511」(November Update)とWindows Server 2016。なお、5月9日にサポートが終了しているWindows 10の初期バージョン「1507」向けにも、修正パッチが提供されている。

 Microsoftでは、攻撃者が細工を加えたウェブサイトや広告を開かせるため、メールやメッセンジャーなどでそれらのURLを送信したり、添付ファイル経由で開かせたりする可能性があるとして、注意を促している。

【お詫びと訂正 14:22】
 記事初出時、定例外でパッチが公開されたとの表現がありましたが、誤っておりました。お詫びして訂正いたします。