今回は、Microsoft Edge にアップデートが来ていたので、この件について書きます。
Chrome をアップデートについていってますねぇ。
Microsoft Edge をアップデートしよう(84.0.522.40)
アップデートをしよう
といってもすでにアップデートされていましたので、アップデート後確認の画面のみです。いつのまに( ゚Д゚)
- […] > [ ヘルプとフィードバック(B) ] > [ Microsoft Edge について(M) ] を選択します。
- バージョンが
84.0.522.40 になっています。
アップデート内容を確認します。
Version 84.0.522.40: July 16
アップデート機能
- Microsoft Edgeでは、Internet Explorerモードのサイトリストのダウンロード時間が改善されています。キャッシュされたサイトリストがない場合、Internet Explorerモードのサイトリストのダウンロード遅延を0秒(60秒の待機から減少)に減らしました。また、サイトリストがダウンロードされるまでInternet Explorerモードのホームページのナビゲーションを遅らせる必要がある場合のために、グループポリシーのサポートを追加しました。
- Microsoft Edgeでは、Windows 10で「管理者として実行」しているときに、ユーザーがブラウザーにサインインできるようになりました。これは、WindowsサーバーまたはリモートデスクトップおよびサンドボックスシナリオでMicrosoft Edgeを実行しているユーザに役立ちます。
- Microsoft Edgeは、全画面モードのときにマウスを完全にサポートするようになりました。これで、フルスクリーンモードを終了しなくても、マウスを使用してタブ、アドレスバー、その他のアイテムにアクセスできます。
- オンライン購入の改善。保存したデビットカードまたはクレジットカードにカスタムニックネームを追加します。オンラインでの購入時にクレジットカードを区別できるようになりました。デビットカードまたはクレジットカードにニックネームを付けると、自動入力を使用して支払い方法を選択するときに正しいカードを選択できます。
- TLS / 1.0およびTLS / 1.1はデフォルトで無効になっています。影響を受けるサイトを発見するのに役立つように、edge:// flags /#display-legacy-tls-warningsフラグを設定して、レガシーTLSプロトコルを必要とするページをロードするときにMicrosoft Edgeに非ブロッキングの「Not Secure」通知を表示させることができます。SSLVersionMinのポリシーで許可を再有効化TLS / 1.0およびTLS / 1.1の。このポリシーは、少なくともMicrosoft Edgeバージョン88まで利用可能です。
- コレクションの改善:
- コレクションのアイテムにメモやコメントを追加できるメモ機能が追加されました。ノートはグループ化され、コレクション内のアイテムを並べ替えてもアイテムに添付されたままになります。この新機能を試すには、アイテムを右クリックして[メモを追加]を選択します。
- コレクション内のノートの背景色を変更できます。色分けを使用して、情報を整理し、生産性を向上させることができます。
- 以前のバージョンのMicrosoft Edgeよりも短時間でコレクションをExcelにエクスポートできる、顕著なパフォーマンスの向上があります。
- 追加のMicrosoft Edge APIサポート:
- ストレージアクセスAPI。このAPIを使用すると、ユーザーがブラウザの現在の構成によってブロックされるストレージを許可するように直接意図を提供する場合、サードパーティのコンテキストでファーストパーティのストレージにアクセスできます。 プライバシーがユーザーにとってますます重要になっているので、より厳しいブラウザのデフォルトや、すべてのサードパーティのストレージアクセスのブロックなどのユーザーのオプトイン設定のリクエストがますます一般的になっています。これらの設定はプライバシーを改善し、未知または信頼できない当事者による不要なアクセスをブロックするのに役立ちますが、ユーザーが表示したいコンテンツ(ソーシャルメディアや埋め込みメディアコンテンツなど)へのアクセスをブロックするなど、望ましくない副作用をもたらす可能性があります。
- ネイティブファイルシステムAPI。つまり、ネイティブファイルシステムAPIを介してファイルまたはフォルダーを編集する権限をサイトに付与できます。
- PDFの改善:
- Read for Aloud for PDFを使用すると、ユーザーはPDFコンテンツを聴きながら、他の重要なタスクを実行できます。また、視聴覚学習者がコンテンツを読むことに集中できるため、学習が容易になります。
- PDFファイルの編集が改善されました。これで、PDFを編集するたびにコピーを保存する代わりに、PDFに対して行った編集をファイルに保存できます。
- Microsoft Edgeにより、イマーシブリーダーでの翻訳が可能になりました。ユーザーがイマーシブリーダービューを開くと、ページを目的の言語に翻訳するオプションが表示されます。
- VSコードに一致するようにキーボードショートカットをカスタマイズしたり、ハイコントラストでDevToolsを表示したりするためのサポートを含む、いくつかのDevToolsの更新。
アップデートポリシー
新ポリシー
7つの新しいポリシーが追加されました。Microsoft Edge Enterpriseのランディングページから更新された管理用テンプレートをダウンロードします。次の新しいポリシーが追加されました。
- AppCacheForceEnabled-デフォルトでオフになっている場合でも、AppCache機能を再度有効にすることができます。
- ApplicationGuardContainerProxy -Application Guard Container Proxyの設定を構成します。
- DelayNavigationsForInitialSiteListDownload-タブナビゲーションの前にエンタープライズモードのサイトリストが利用可能であることを要求します。
- WinHttpProxyResolverEnabled -Windowsプロキシリゾルバを使用します。
- InternetExplorerIntegrationEnhancedHangDetection -Internet Explorerモードの拡張ハング検出を構成します。
- NativeWindowOcclusionEnabled-ネイティブウィンドウの非表示を有効にします。
- NavigationDelayForInitialSiteListDownloadTimeout-エンタープライズモードサイトリストのタブナビゲーションの遅延のタイムアウトを設定します。
廃止されたポリシー
- AllowSyncXHRInPageDismissal-ページを閉じるときに、ページが同期XHR要求を送信できるようにします。
- BuiltinCertificateVerifierEnabled-組み込みの証明書検証機能を使用してサーバー証明書を検証するかどうかを決定します。
- StricterMixedContentTreatmentEnabled-混合コンテンツのより厳密な処理を有効にします。
- ForceNetworkInProcess-ブラウザープロセスでネットワークコードを強制的に実行します。
セキュリティ修正
セキュリティ修正は、Chromium 84.0.4147.89 ベースなので、ほぼ同じ内容です。CVEベースで26件です。
25件は、Chromeと同じです。CVE-2020-6521の1件だけEdgeには記載がありません。Chromeのみなのでしょうか?Edgeは未修正なのか、記載ミスなのか不明です。25件の詳細は、こちらを参照願います。
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/ADV200002
1件 CVE-2020-1341 のみ Microsoft Edge 固有の脆弱性のようです。
CVE-2020-1341
重要度: 注意(CVSS3.0 : 3.1)
内容: 特権の昇格の脆弱性
危険度: Microsoft Edge(Chromiumベース)に特権の昇格の脆弱性が存在し、ユーザーに追加の警告を表示せずにDLLファイルのダウンロードが許可されます。攻撃者がこの脆弱性を悪用した場合、DLLファイルをユーザーのダウンロードフォルダー(または同等のフォルダー)にドロップし、上位の権限を取得する可能性があります。この脆弱性を悪用するには、ユーザーはDLLファイルをダウンロードするように設計された悪意のあるWebサイトを参照し、ページをクリックしてプロセスにする必要があります。電子メールの攻撃シナリオでは、攻撃者は悪意のあるサイトにユーザーを誘導するために電子メールメッセージを送信する可能性があります。この脆弱性自体により、任意のコードの実行は許可されません。ただし、この脆弱性を1つ以上の脆弱性(リモートコード実行の脆弱性や別の特権の昇格の脆弱性など)と組み合わせて使用して、実行時に昇格された特権を利用する可能性があります。
まとめ
Chrome のリリース後、すぐにアップデートされるのでありがたい。ただ、CVE-2020-6521 1件だけEdgeのセキュリティ修正に記載されていないのが非常に気になりますねぇ。自動入力がらみの修正だったかと思いますがEdgeって自動入力機能ってないんだっけ?
気になるので、CVE-2020-6510 を見てます。
CVE-2020-6521(1075734)
重要度:警告 ( CVSS 3.0: 5.7 )
内容:暗号の問題の脆弱性
危険性:この脆弱性により、リモートの攻撃者が機密情報にアクセスできるようになります。この脆弱性は、自動入力のサイドチャネル情報リークが原因で発生します。Chrome Medium。リモートの攻撃者は、特別に細工したWebページを作成し、被害者をだまして開かせ、機密情報にアクセスさせることができます。
関連情報
Microsoft Edge release notes for Stable Channel | Microsoft Docs
0 件のコメント:
コメントを投稿