Microsoft Edge、Chromium 150ベースで複数の脆弱性を修正-CVE-2026-13789 他

セキュリティニュース

投稿日時: 更新日時:

Microsoft Edge、Chromium 150ベースで複数の脆弱性を修正-CVE-2026-13789 他

Microsoftは2026年7月2日、Microsoft Edge安定版(Stable channel)をバージョン150.0.4078.48へ更新したと発表しました。あわせてAndroid版もバージョン149.0.4022.105へ更新されています。この更新はEdgeが基盤としているChromiumプロジェクト側のセキュリティ修正を取り込んだもので、対応するGoogle Chrome 150では382件ものセキュリティ修正が行われ、そのうち15件が最高深刻度のCriticalに分類されています。当サイトでも以前、Chrome のV8エンジンに存在したゼロデイ脆弱性CVE-2026-11645を取り上げましたが、今回はそれに続く、通常のスケジュールに基づいた大規模な定例セキュリティ更新にあたります。

サマリー

  • Microsoftは2026年7月2日、Microsoft Edge安定版をバージョン150.0.4078.48(デスクトップ)およびバージョン149.0.4022.105(Android)へ更新した
  • この更新はGoogle Chromeが2026年6月30日に公開したChrome 150(150.0.7871.46/.47)のセキュリティ修正を取り込んだもの
  • Chrome 150では合計382件のセキュリティ修正が行われており、Googleが自社で発見した358件と、外部の研究者から報告された24件が含まれる。外部研究者への報奨金総額は約9万ドルにのぼる
  • 382件のうち15件は最高深刻度のCriticalに分類されており、その多くがExtensions・GPU・WebUSB・Browser・Views・Bluetooth・Chromoting・Ozoneといった機能に存在するUse-After-Free(解放後メモリ使用)の脆弱性
  • 代表例としてCVE-2026-13789(深刻度High)は、GPUコンポーネントに存在するUse-After-Freeの脆弱性で、レンダラープロセスが既に侵害されている状態を前提に、細工されたHTMLページを通じてサンドボックスからの脱出を許す可能性がある
  • Googleは、今回修正された382件のいずれについても、本稿執筆時点で実際の悪用は確認されていないとしている
  • Microsoft Edge側の個別のCVE情報については、本稿執筆時点でまだ公開されておらず、判明次第追記するとされている
項目 内容
Edge公開日 2026年7月2日
Edge安定版バージョン 150.0.4078.48(デスクトップ)、149.0.4022.105(Android)
対応するChromiumのバージョン Chrome 150(150.0.7871.46/.47、2026年6月30日公開)
修正されたセキュリティ問題の件数 382件(Google Chrome側の発表による)
最高深刻度(Critical)の件数 15件、多くがUse-After-Free
代表的なCVE CVE-2026-13789(High、GPUのUse-After-Freeによるサンドボックス脱出の恐れ)
実悪用の有無 本稿執筆時点でGoogleは悪用を確認していないとしている
EdgeのCVE詳細公開状況 本稿執筆時点で未公開

何が起きたか

Microsoft Edgeはブラウザエンジンの中核部分をGoogleが主導するオープンソースプロジェクトのChromiumに依存しており、Chromium側でセキュリティ修正が行われるたびに、Microsoftもこれを取り込んだEdgeの更新版を追って公開するという運用になっています。今回の2026年7月2日付の更新は、Google Chromeが6月30日に公開したChrome 150のセキュリティ修正一式を反映したものです。

Chrome 150の修正内容についてはGoogle自身の発表によれば、合計382件ものセキュリティ問題への対応が含まれており、このうち358件はGoogle社内で発見されたもの、残る24件は外部のセキュリティ研究者からの報告に基づくものです。外部研究者に対しては合計で約9万ドルの報奨金が支払われています。382件という件数は、直近の月次更新と比べても際立って大きく、Google自身も大規模な更新であることを認めています。この382件のうち特に重要度が高いとされるのが、最高深刻度のCriticalに分類された15件です。これらの多くは、拡張機能・GPU・WebUSB・ブラウザ本体・UI表示・Bluetooth・リモートデスクトップ機能・グラフィックス処理といった、幅広いコンポーネントにまたがるUse-After-Free(解放後のメモリ領域を誤って参照してしまう)という同種の脆弱性です。

代表例として挙げられるのがCVE-2026-13789です。これはGPUコンポーネントに存在するUse-After-Freeの脆弱性で、深刻度はHighと評価されています。攻撃者がレンダラープロセス(Webページの描画処理を担う部分)を何らかの形で先に侵害している状態であれば、細工したHTMLページを読み込ませることで、本来はブラウザの中に封じ込められているはずのサンドボックスから脱出できる可能性があるとされています。もう一つの例であるCVE-2026-13989は、PageInfoと呼ばれる、アドレスバー付近のアイコンから接続の安全性や権限設定を確認する画面のなりすましを許す脆弱性で、深刻度はMediumとされていますが、こちらも同様にレンダラープロセスの事前侵害を前提とした問題です。Googleは今回の382件について、本稿執筆時点でいずれも実際の悪用は確認されていないとしています。

原因

今回のような大規模な定例パッチが繰り返し発生している背景には、複数の要因が重なっています。1つ目は、GoogleがAddressSanitizerやMemorySanitizer、ファジングといったメモリ安全性を検証するツールを積極的に活用し、Use-After-Freeのようなメモリ管理に起因する脆弱性を継続的に発見し続けていることです。Chrome 150で修正された358件がGoogle社内発見によるものだという内訳は、こうした自動化された脆弱性発見の取り組みが着実に成果を上げていることを示しています。

2つ目は、当サイトで既報のMicrosoftの2026年6月定例パッチが過去最多の206件を記録した際にも指摘した通り、AIを活用した脆弱性発見の手法が業界全体で加速している点です。防御側がAIを使ってより多くの脆弱性を事前に発見できるようになっている一方で、攻撃者側も同様の技術を持ちうるという緊張関係が、パッチ件数の増加という形で表面化していると考えられます。ネットワークエンジニアとしてブラウザのセキュリティアップデートを長年見てきた立場から言うと、ブラウザは日常的に外部から届く未知のコンテンツを解釈し実行するという、本質的にリスクの高いソフトウエアです。とりわけChromiumのようにMicrosoft Edge・Google Chrome・Brave・Opera・Vivaldiなど多数のブラウザが共通のコードベースを利用している場合、1つのコンポーネントに存在する脆弱性が、複数のブランドのブラウザへ同時に影響する構造になっている点も見過ごせません。

情報システム部門への示唆

自組織でMicrosoft Edgeを利用している場合、バージョンが150.0.4078.48(デスクトップ)以降になっているかをまず確認してください。Chromium系のブラウザはUse-After-Freeのようなメモリ破壊系の脆弱性が繰り返し見つかる傾向にあり、レンダラープロセスの侵害を前提とした脆弱性であっても、他の脆弱性と組み合わされることでサンドボックス脱出という深刻な結果につながりうる点は軽視できません。Googleが本稿執筆時点で実際の悪用を確認していないとはいえ、詳細情報が広く行き渡った後に悪用が始まるケースは過去にも繰り返されており、更新を後回しにする理由にはなりません。

あわせて、Microsoft Edgeを含むChromiumベースのブラウザ全般について、自動更新が有効になっているかを定期的に確認する運用をお勧めします。当サイトで以前紹介した悪意あるEdge拡張機能Edgecutionを使ったランサムウェア侵入の事例のように、ブラウザ本体の脆弱性だけでなく拡張機能を経由した攻撃も確認されているため、拡張機能のインストールをグループポリシーやMDMで制限し、定期的に棚卸しを行うこともあわせて検討してください。EdgeのCVE個別情報は本稿執筆時点でまだ公開されていませんが、Microsoftの公式リリースノートは今後随時更新される見込みのため、続報が出た際には改めて内容を確認することをお勧めします。

<!– SEOディスクリプション案: Microsoftが2026年7月2日、Microsoft Edge安定版をバージョン150.0.4078.48へ更新。対応するGoogle Chrome 150では382件のセキュリティ修正が行われ、うち15件が最高深刻度のCriticalでGPU等のUse-After-Free脆弱性(CVE-2026-13789等)を含む。今回の定例更新の内容、パッチ件数増加の背景、情報システム部門が取るべき対応を解説。 –>

出典