Adobe が立て続けに重大な修正パッチをリリース

先ごろ Adobe Systems が、立て続けに重大な脆弱性の修正パッチをリリースした。

同社は5日、『Adobe Flash Player 9』で見つかった重大な脆弱性6件に関するセキュリティ勧告を公開し、修正版をリリースした。また4日には、5か月前から指摘があった『Adobe Reader 8』と『Adobe Acrobat 8』の脆弱性8件に対応した修正版をリリースしている。

具体的には、Adobe Flash Player の場合、バージョン9.0.124.0以前に脆弱性が存在し、Adobe Reader および Adobe Acrobat は、バージョン8.1.2以前に脆弱性が存在する。なお Adobe は、10月に『Adobe Flash Player 10』をリリース済みで、Adobe Reader と Adobe Acrobat も現行版はバージョン9となっており、これら最新版に今回の脆弱性は影響しない。

アプリケーション セキュリティ分析会社 Veracode の CTO (最高技術責任者) Chris Wysopal 氏によれば、Adobe アプリケーションは Web 上で広く普及していることから、その脆弱性は特に危険が大きいという。

ツール類のアップデートが遅れがちな大手企業は、これら旧版の Adobe アプリケーションに存在する脆弱性により、きわめて大きな打撃を受けることになると Wysopal 氏は語った。

今回対応した脆弱性は、いずれも『JavaScript』に関連する問題だ。Wysopal 氏によれば、Adobe アプリケーションのように JavaScript を解釈するアプリケーションには、多くの脆弱性があるという。

JavaScript にはグローバル オブジェクトが存在し、これがすべての クロスサイト スクリプティング (XSS) 攻撃の根本的な原因になっていると専門家は語る。XSS 攻撃と SQL インジェクション攻撃を合わせると、Web サイトに対する攻撃全体のおよそ60％を占める格好だ。

ブラウザなどの他のアプリケーションにも JavaScript 関連の脆弱性は存在するが、Adobe は手ごろな標的だという理由から、攻撃対象になりやすい。Wysopal 氏によれば、これまで標的としていたブラウザのセキュリティが、ここ数年で強化されたため、Adobe をはじめとする各ベンダーの JavaScript を用いるアプリケーションに、クラッカーの目が向きつつあるという。

Twitter	iPhoneアプリ / iPadアプリ		Androidアプリ
Facebook	RSS	ニュースメール