Microsoftは、Edgeブラウザに存在する3件の重大な脆弱性を公開しました。いずれもPwn2Own競技会において、DEVCORE Research TeamのセキュリティリサーチャーであるOrange Tsai氏によって発見・報告されたものです。
これらの脆弱性はCVE-2026-45492、CVE-2026-45494、CVE-2026-45495として追跡されており、2026年6月4日に公開されました。Microsoftはすでにパッチを提供しています。
各脆弱性の概要
CVE-2026-45492 – オリジン検証エラーによるセキュリティバイパス
1件目の脆弱性はCVSSスコア4.3で、Orange Tsai氏が報告しました。Microsoft Edgeのクロスデバイス管理サインイン機能に存在し、Webコンテンツのオリジン検証が不十分であることに起因します。この欠陥により、リモートの攻撃者は高い権限を持つことなく、制限された機能にアクセスできます。
ZDI-26-329として追跡されているこの脆弱性の悪用には、ターゲットユーザーが悪意のあるWebページにアクセスするか、悪意のあるファイルを開く操作が必要です。脆弱性単体では機密データの漏洩やブラウザのクラッシュを直接引き起こすものではありませんが、他の脆弱性と組み合わせることで、現在のユーザー権限のコンテキストで任意のコードを実行される可能性があります。
CVSSベクター(AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N)が示すように、攻撃の複雑さは低く、ネットワーク経由での攻撃が可能であるため、幅広い脅威アクターに悪用されるリスクがあります。
CVE-2026-45494 – ナビゲーション処理を介したユニバーサルクロスサイトスクリプティング
2件目の脆弱性CVE-2026-45494は、Orange Tsai氏が報告しており、CVSSスコアは5.0です。Edgeのナビゲーション処理ロジックに存在し、ユーザー入力データの検証が不適切なことにより、任意のスクリプトが注入される、いわゆるユニバーサルクロスサイトスクリプティング(UXSS)の問題です。
ZDI-26-330として追跡されており、悪用に成功した場合、リモートの攻撃者は被害者がアクセスしている任意のドメインのコンテキストで悪意のあるスクリプトを実行できます。
ベクター(AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:L/A:L)が示すとおり、攻撃の複雑さは高いものの、機密性・完全性・可用性のいずれにも中程度の影響があります。UXSS攻撃は、従業員が機密性の高い社内Webアプリケーションに認証済みでアクセスしている企業環境において、特に深刻な脅威となります。
CVE-2026-45495 – フィードバックログ処理のディレクトリトラバーサルによるRCE
3件のうち最も深刻な脆弱性であるCVE-2026-45495は、CVSSスコア7.5と評価されており、完全なリモートコード実行(RCE)のリスクをはらんでいます。
この脆弱性はEdgeのフィードバックログファイル処理コンポーネントに存在するディレクトリトラバーサルの欠陥で、ファイル操作に使用される前のユーザー指定パスの検証が不十分なことが原因です。
ZDI-26-331として追跡されており、他の2件の脆弱性と組み合わせて悪用された場合、攻撃者はログイン中のユーザーのコンテキストで任意のコードを実行できます。
CVSSベクター(AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H)は、機密性・完全性・可用性のすべてにおいて高い影響があることを示しています。
3件の脆弱性はいずれも2026年5月20日にMicrosoftへ報告され、Zero Day Initiative(ZDI)を通じて2026年6月4日に協調的な公開アドバイザリが公表されました。Microsoftはセキュリティレスポンスセンター(MSRC)を通じて、すべてのCVEに対するパッチを提供しています。
Microsoft Edgeを利用するユーザーおよび組織は、直ちに最新のアップデートを適用することを強く推奨します。
翻訳元: https://gbhackers.com/microsoft-edge-vulnerability/
