アドビがAdobe ReaderおよびAcrobatに定例外パッチ

文:Ryan Naraine(Special to ZDNet.com) 翻訳校正:石橋啓一郎

2010-02-18 13:19

    • メールで送る
    • テキスト
    • HTML
    • 電子書籍
    • PDF
    • ダウンロード
    • テキスト
    • 電子書籍
    • PDF

 Adobeは米国時間2月16日、多数のコンピュータユーザーを遠隔からのコード実行攻撃にさらす2件のセキュリティホールを修正する、定例外のセキュリティアップデートを公開した。

 これらの脆弱性は「クリティカル」にレーティングされており、すべてのプラットフォーム(Windows、Mac、Linux)のAdobe ReaderおよびAcrobatに影響がある。

 このAdobe ReaderとAcrobatのアップデートは、同社が設定している四半期ごとの定期パッチのスケジュールから外れている。セキュリティ情報には、脆弱性の発見者としてMicrosoftのセキュリティ研究チームが掲載されているが、これがMicrosoftがAdobeにパッチの公開を早めるよう圧力をかけたことを意味しているのかどうかは明らかではない。

 Adobeは進行中の攻撃や、公に入手できる攻撃コードは存在しないと主張している。

 またこのパッチは、2月第2週に公開されたAdobe Flash Playerのパッチと明白な関連がある。Flash Playerのパッチは、ドメインサンドボックスを迂回し、許されていないクロスドメインリクエストを行うことができるというセキュリティホール(CVE-2010-0186)を対象としている。

 この日公開されたAdobe Reader/Acrobatの脆弱性に関するセキュリティ情報でも同じ脆弱性が参照されており、Windows、Macintosh、UNIXのAdobe Reader 9.3、WindowsとMacintoshのAdobe Acrobat 9.3、およびWindows、MacintoshのAdobe Reader 8.2およびAcrobat 8.2に影響があるとされている。

 Adobeはまた、攻撃者がアプリケーションをクラッシュさせ、影響のあるシステムを乗っ取ることのできる可能性のある重大な脆弱性(CVE-2010-0188)の発見を、Microsoftの研究者の功績としている。

 アドバイザリには次のように記述されている。

 AdobeはWindows、Macintosh、UNIXのAdobe Reader 9.3以前のバージョンのユーザーに対し、Adobe Reader 9.3.1にアップデートすることを推奨する(Adobe Reader 9.3.1にアップデートすることのできないWindowsおよびMacintoshのAdobe Readerユーザーに対しては、AdobeはAdobe Reader 8.2.1のアップデートを提供した)。AdobeはWindowsおよびMacintoshのAdobe Acrobat 9.3以前のバージョンのユーザーに対し、Adobe Acrobat 9.3.1にアップデートすることを推奨する。さらにAdobeは、WindowsおよびMacintoshのAcorbat 8.2以前のバージョンのユーザーに対し、Acrobat 8.2.1にアップデートすることを推奨する。

 Adobeはこれらのパッチを、製品の自動アップデート機能を通じて提供している。デフォルトの設定では、定期的に自動的なアップデートが行われるようになっており、[ヘルプ]→[アップデートの有無をチェック]から手動でこの手順を実行することもできる。

 [UPDATE] Adobeの広報担当者Wiebke Lips氏は、いくつかの質問に答えてくれている。

--なぜ定例外のアップデートを行ったのか?進行中の攻撃や、公開されている攻撃コードが存在するのか?

 2月11日にAdobeが修正したFlash Playerの脆弱性は、Adobe ReaderおよびAcrobatにも影響がある。Adobeは、4月に予定されている、Adobe ReaderおよびAcrobatに対する次の四半期ごとの定期アップデートを待つのではなく、定例外のアップデートで今回の修正を行うことを決定した。Adobeは今回公開されたアップデートで修正された問題を悪用した攻撃が出回っているとは承知していない。

--2月第2週のAdobe Flash Playerのセキュリティホールは、Adobe ReaderおよびAcrobatにも影響があるように見える。Flash Playerのセキュリティ情報にも、この情報を掲載する予定はあるか。

 実際には、Adobeは2月11日にこのFlash Playerの脆弱性について議論するAdobe ReaderおよびAcrobatのアドバイザリを個別に公表したことで、すでにこの情報を開示している。

--Microsoftがコードが実行される可能性のあるバグを発見し、レポートしたことと、定例外のパッチになったことの間には関連があるのか?

 この特定の脆弱性が、今回のアップデートで修正されたということ以外には関連はない。定例外のパッチを公開することを決定したのは、2月11日に修正したFlash Playerの脆弱性がAdobe ReaderおよびAcrobatにも影響があるためだ。Adobeは、4月に予定されている次の四半期ごとのアップデートを待つのではなく、このパッチを定例外のアップデートとして提供することを決定した。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。原文へ

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

メールマガジン購読のお申し込み

「特集 : Zero Day」 バックナンバー

関連キーワード
Adobe Systems
セキュリティ

関連ホワイトペーパー

人気カテゴリ
経営
セキュリティ
クラウドコンピューティング
仮想化
ビジネスアプリケーション
モバイル

特集

CNET Japan Top Story

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    セキュリティ担当者に贈る、従業員のリテラシーが測れる「情報セキュリティ理解度チェックテスト」
  2. セキュリティ

    サイバー攻撃の“大規模感染”、調査でみえた2024年の脅威動向と課題解決策
  3. セキュリティ

    従業員のセキュリティ教育の成功に役立つ「従業員教育ToDoリスト」10ステップ
  4. セキュリティ

    IoTデバイスや重要インフラを標的としたサイバー攻撃が増加、2023年下半期グローバル脅威レポート
  5. セキュリティ

    急増する工場システムへのサイバー攻撃、現場の課題を解消し実効性あるOTセキュリティを実現するには
ホワイトペーパーライブラリー

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

投票する

投票にはCNET_IDの登録・ログインが必要です

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]