Adobe、一部製品でゼロデイ攻撃を呼び込んでいた脆弱性に対応

『Portable Document Format』(PDF) 形式をサポートする Adobe Systems のアプリケーション『Adobe Acrobat』と『Adobe Reader』は、Web における PDF 形式ファイルの普及と相まって、依然として最も一般に使われているソフトウェアの1つで、PDF ファイル (元々 Adobe が開発した形式) を扱う際のアプリケーションとして人気が定着している。だが、先だって Adobe 製 PDF ツールに脆弱性が存在すると明らかになったものの対応に時間を要し、ここしばらくユーザーは、コンピュータ システム乗っ取りのおそれがある攻撃を受けかねない状態に置かれていた。

そして今回、完全にではないとはいえ、未対応脆弱性の問題がようやく解決した。

Adobe は10日遅く、『Windows』版と『Mac OS X』版の Adobe Acrobat 9 と Adobe Reader 9 について、該当の脆弱性を修正するパッチを公開した。更新後のバージョンは、いずれも 9.1 だ。しかし『Linux』と『UNIX』で利用できるバージョンについては、今も未対応のままとなっている。

ただ付け加えるなら、同社はこれまでも Adobe Acrobat と Adobe Reader Reader の更新を、全プラットフォーム版同時に行なったことがない。

Adobe はセキュリティ勧告の中で、次のように述べている。「Adobe Reader 7 および同 8、そして Acrobat 7 および同 8 の更新を3月18日までに提供する計画だ。また UNIX 版は、3月25日までには Adobe Reader 9.1 の公開を予定している」

Adobe の広報担当に取材したが、コメントは得られなかった。

同社は勧告の中で、今回のゼロデイ攻撃 (未対応の脆弱性を突く攻撃) を招いた脆弱性について、アプリケーションのクラッシュを引き起こし、攻撃者がユーザーのシステムを乗っ取ってしまいかねないものだと説明した。また、同脆弱性を悪用した攻撃が発生しているとの記述もある。

Twitter	iPhoneアプリ / iPadアプリ		Androidアプリ
Facebook	RSS	ニュースメール