United States Computer Emergency Readiness Team (US-CERT)は10月26日(米国時間)、「Microsoft Releases Security Update for Edge|CISA」において、MicrosoftがWebブラウザ「Microsoft Edge」について最新のセキュリティアップデート「Edge 86.0.622.51」をリリースしたと伝えた。このアップデートはChronium 86.0.4240.111に基づくもので、影響度が「高(High)」のものを含む5件の脆弱性が修正されている。
MicrosoftはEdgeに関するセキュリティアドバイザリ「ADV200002」を更新し、Edge 86.0.622.51のリリースに関する情報を追加した。
Edge 86.0.622.51は2020年10月20日にリリースされたChromium 86.0.4240.111をベースとしたもので、CVE-2020-15999、CVE-2020-16000、CVE-2020-16001、CVE-2020-16002、CVE-2020-16003の5件の脆弱性の修正が含まれている。各脆弱性の概要は、Googleによる次のリリース情報にまとめられている。
これによると、Chromium 86.0.4240.111(およびEdge 86.0.622.51)で修正された脆弱性は以下のとおり。括弧内は脆弱性の影響度を示す。
- (高)CVE-2020-15999: FreeTypeにおけるヒープバッファオーバーフロー
- (高)CVE-2020-16000: Blinkにおける不適切な実装
- (高)CVE-2020-16001: Mediaにおける解放後のメモリアクセス(Use After Free)
- (高)CVE-2020-16002: PDFiumにおける解放後のメモリアクセス
- (高)CVE-2020-16003: 印刷における解放後のメモリアクセス
Googleによると、CVE-2020-15999を悪用した攻撃が確認されているとのこと。Cybersecurity and Infrastructure Security Agency (CISA)は、ユーザーおよび管理者に対し、上記のセキュリティ情報をチェックした上で、必要に応じてアップデートを適用することを推奨している。