Microsoftは、同社のEdgeブラウザに存在する3件のセキュリティ脆弱性にパッチを適用しました。これらの脆弱性はPwn2Ownコンペティションでの発見を受け、2026年6月4日に協調的な公開プロセスを経て開示されたものです。
CVE-2026-45492、CVE-2026-45494、CVE-2026-45495として追跡されているこれらの脆弱性は、オリジン検証のバイパスから、完全なリモートコード実行(RCE)を可能にする高深刻度のディレクトリトラバーサルまで、幅広い問題を含んでいます。
1件目の脆弱性であるCVE-2026-45492は、CVSSスコア4.3(AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N)が付与されており、オリジン検証エラーに分類されます。
この脆弱性は、Edgeのクロスデバイス管理サインイン機能に存在しており、ブラウザがWebコンテンツのオリジンを十分に検証しないことに起因します。
リモートの未認証攻撃者は、ユーザーを悪意あるWebページへ誘導するか、細工されたファイルを開かせることで、この脆弱性を悪用できます。
この脆弱性単体では整合性への影響に限られ(機密性・可用性への影響はなし)、Orange Tsai氏によれば、他の脆弱性と組み合わせることで現在のユーザーコンテキストで任意のコードを実行できるとされています。
2件目の脆弱性CVE-2026-45494は、CVSSスコア5.0(AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:L/A:L)が付与されており、ブラウザのナビゲーションイベント処理の不備に起因するユニバーサルクロスサイトスクリプティング(UXSS)の脆弱性です。
問題の核心は、ナビゲーション処理中におけるユーザー入力データの検証が不十分であることにあり、任意のスクリプトを注入できる状態になっています。
この脆弱性を悪用した攻撃者は、任意のターゲットドメインのコンテキストで悪意あるJavaScriptを実行でき、実質的に同一オリジンポリシーを回避することが可能です。
UXSSというこの脆弱性のクラスは、ブラウザの根本的なセキュリティ境界を突破するものとして特に深刻視されており、被害者がアクセスするあらゆるWebサイトにおいて、セッションハイジャックや認証情報の窃取、さらなる悪用を招く恐れがあります。
3件のうち最も深刻なCVE-2026-45495は、CVSSスコア7.5(AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H)が付与されており、Edgeのフィードバックログファイル処理機能におけるディレクトリトラバーサルの脆弱性を通じて、リモートコード実行を可能にします。
この脆弱性は、ファイルシステム操作でユーザー指定のファイルパスを使用する前に検証を行わないことに起因しています。
悪意あるページに被害者を誘導した攻撃者は、このパストラバーサルを利用して意図されたディレクトリ外のファイルを書き込んだり操作したりすることができます。さらに、CVE-2026-45492との連鎖利用により、現在のユーザー権限での完全な任意コード実行へとエスカレートさせることも可能です。
Microsoftは、Microsoft Security Response Center(MSRC)を通じて3件すべての脆弱性に対するパッチを公開しました。
CVE-2026-45495によるRCEの可能性と、他の2件の脆弱性との連鎖利用リスクを踏まえ、セキュリティチームは管理下にあるすべてのエンドポイントでMicrosoft Edgeを直ちに更新することを優先すべきです。
3件の脆弱性はいずれも、DEVCOREリサーチチーム(@d3vc0r3)のOrange Tsai氏(@orange_8361)によって発見・報告されています。パッチが適用されていないバージョンのMicrosoft Edgeを使用しているユーザーは、edge://settings/helpから更新を行ってください。
翻訳元: https://cyberpress.org/microsoft-edge-vulnerability/
