Adobeは同社のAdobe ReaderおよびAcrobatの、全部で8件の明文化されたセキュリティ上の脆弱性を修正する大型アップデートを公開した。
このアップデートでは大きなセキュリティの改善が行われており、これには「拡張セキュリティ」機能がデフォルトで有効にされることが含まれる。拡張セキュリティ機能は、デフォルトではスクリプトの実行を制限し、この制限の対象としない信頼できる場所を指定する方法も併せて提供する。
今回のアップデートで修正される脆弱性は以下の通りだ。
- このアップデートでは、Multimedia.apiに存在する、コードの実行につながる可能性のある解放済みメモリを使用する脆弱性を修正している(CVE-2009-4324)。この問題は実際に悪用されており、使用されている攻撃方法では、WindowsプラットフォームのAdobe ReaderおよびAcrobat 9.2が攻撃対象となっている。
- このアップデートでは、U3Dサポートに存在する、任意のコードの実行につながる可能性のある配列の境界条件の問題を解決している(CVE-2009-3953)。
- このアップデートでは、3Dに存在する、任意のコードの実行が可能になる場合があるDLL読み込みの脆弱性を修正している(CVE-2009-3954)。
- このアップデートでは、コードの実行につながる可能性のあるメモリ破壊の脆弱性を修正している(CVE-2009-3955)。
- このアップデートでは、拡張セキュリティのデフォルト設定を変更することにより、スクリプトインジェクションの脆弱性を緩和している(CVE-2009-3956)。
- このアップデートでは、サービス妨害につながる可能性のある、ヌルポインタを間接参照する脆弱性を修正している(CVE-2009-3957)。
- このアップデートでは、コードの実行につながる可能性のある、ダウンロードマネージャに存在するバッファオーバーフローの脆弱性を修正している(CVE-2009-3958)。
- このアップデートでは、コードの実行につながる可能性のある、U3Dサポートに存在する整数オーバーフローの脆弱性を修正している(CVE-2009-3959)。
Adobeはすべてのプラットフォームで、このアップデートの緊急度を「クリティカル」に分類している。これらのセキュリティホールの影響を受けるのは、Windows、Macintosh、UNIXのAcrobat 9.2およびAcrobat 9.2と、Windows、MacintoshのAdobe Reader 8.1.7およびAcrobat 8.1.7だ。
これらの脆弱性は、アプリケーションのクラッシュを引き起こす場合があり、攻撃者に影響を受けるシステムの乗っ取りを許す可能性がある。
今回のパッチと一緒に公開されたこの資料によれば、Adobeはデフォルトで拡張セキュリティ機能を有効にしている。
拡張セキュリティは、環境を守るために設計された2つのツールを提供する。デフォルトで設定されるスクリプト実行の制限と、その制限を適用すべきでない信頼できる場所を設定する手段だ。つまり、危険な行動を全面的にブロックすることもできれば、信頼できる場所やファイルだけを選択的に許可することもできるということだ。
このアップデートにはほかに、セキュリティ特権の場所を設定する機能に対する改良、クロスドメインのサポート、警告メッセージとダイアログの改良、デフォルトでの古いマルチメディアのサポートに対する無効化が含まれている。
Adobeはまた、Adobe ReaderとAcrobatの新しい自動アップデート機能のベータテストも開始した。このアップデーターは、デフォルト状態ではユーザーが関与しなくても通知なしにパッチをインストールする。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。原文へ