Microsoftは10月2日(米国時間)、「Microsoft’s Response to Open-Source Vulnerabilities - CVE-2023-4863 and CVE-2023-5217|MSRC Blog|Microsoft Security Response Center」において、2つのオープンソースソフトウェアに存在していた脆弱性を修正するため、一部の製品に対してアップデートの提供を開始したと発表した。

  • Microsoft’s Response to Open-Source Vulnerabilities - CVE-2023-4863 and CVE-2023-5217|MSRC Blog|Microsoft Security Response Center

    Microsoft’s Response to Open-Source Vulnerabilities - CVE-2023-4863 and CVE-2023-5217|MSRC Blog|Microsoft Security Response Center

セキュリティアップデートの提供が開始されたプロダクトは次のとおり。

  • Microsoft Edge
  • Microsoft Teams for Desktop
  • Skype for Desktop
  • Webp Image Extensions

修正対象とされる脆弱性は、libwebpに存在するヒープバッファオーバーフローの脆弱性「CVE-2023-4863」と、libvpxに存在するヒープバッファオーバーフローの脆弱性「CVE-2023-5217」の2つで、それぞれ深刻度は重要(High)と評価されている。

これら2つの脆弱性はGoogle Chrome (Google Chromium)に関するものとして発表されていたが、ライブラリ自体はChromiumのみならず、他のアプリケーションでも使われており、当初の発表以上に影響範囲の広さが懸念されている。

米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)は、2つの脆弱性をそれぞれカタログに追加し、すでに悪用されていることを明示している(参考「CISA Adds Three Known Vulnerabilities to Catalog | CISA」「CISA Adds One Known Exploited Vulnerability to Catalog | CISA」)。

OSSはアプリケーション開発において欠かすことのできない存在になっている。こうしたことから、1つのOSSに見つかった脆弱性が多くのアプリケーションに影響を与えることがある。また、Google Chrome (Google Chromium)のソースコードはMicrosoft Edgeなど他のWebブラウザで使われており、そうした面でもChromeにおける脆弱性は他のWebブラウザにも影響を与える傾向が見られる。

CVE-2023-4863やCVE-2023-5217が影響をもたらすアプリケーションの全体像はまだ明らかになっていない。使用しているアプリケーションに関してセキュリティアップデートが提供された場合は、迅速にアップデートや緩和策の適用などすぐに対応していくこと望まれる。