Adobe Systemsは米国時間2月16日、Windows、Mac OS X、Unixなどのプラットフォーム版「Adobe Reader」「Adobe Acrobat」に影響する2件の深刻な脆弱性を明らかにし、通常の修正パッチスケジュール外でパッチを公開した。
これらの脆弱性が悪用されると、攻撃者からの権限のないクロスドメインリクエストが実行されたり、システムが乗っ取られたりするおそれがあると、同社は16日付けで公開したセキュリティアドバイザリに記している。
セキュリティ研究者から修正パッチ公開プロセスに関する批判を受け、同社は2009年から四半期ごとのパッチ公開スケジュールに取り組んでいるが、今回の修正パッチのリリースはスケジュール外で実施するほど緊急性が高かった、と同社は説明する。
今回の脆弱性の深刻度を同社は「緊急」としており、独立系セキュリティベンダーのSecuniaは「非常に緊急」としている。
1つ目の脆弱性は、ReaderおよびAcrobatに含まれる「Flash Player」に影響するもので、悪用されると攻撃者によってドメインサンドボックスが破壊され、権限のないクロスドメインリクエストが実行されるおそれがあるという。この脆弱性は、クロスドメイン制限の強化におけるエラーに起因している。
2つめの脆弱性は、ReaderもしくはAcrobatをクラッシュさせる可能性があり、攻撃者による悪意あるコードの実行とユーザーのシステム乗っ取りにつながるおそれがある。
Windows、Mac OS X、Unixが稼働するマシンで「Adobe Reader 9.3」とそれ以前のバージョンを利用しているユーザーは、「Adobe Reader 9.3.1」にアップデートするようAdobeは推奨している。また、脆弱性に対処した「Adobe Reader 8.2.1」もリリースされている。
「Adobe Acrobat 9.3」とそれ以前のバージョンを利用しているユーザーは、「Adobe Acrobat 9.3.1」または「Adobe Acrobat 8.2.1」にアップデートするようAdobeは推奨している。
Adobeは2月11日にFlash Playerに存在する脆弱性に対応する修正パッチを公開しており、AcrobatおよびReader向けの修正パッチも公開を予定しているとユーザーに通知していた。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。原文へ
