アドビ、四半期毎に定例パッチを配信へ

　Adobe Systemsは米国時間5月20日、「Adobe Reader」「Adobe Acrobat」のセキュリティ強化に向けた新しいアプローチの一環として、Microsoftが毎月第2火曜日にパッチをリリースする「Patch Tuesday」に合わせてセキュリティ更新を四半期に1度行うことを発表した。

　同社の製品セキュリティおよびプライバシー担当ディレクターBrad Arkin氏はブログ投稿で、最新のセキュリティ更新は四半期に1度、第2火曜日に配信される予定で、2009年夏に開始すると記している。

　Arkin氏の投稿によると、Adobeが3月10日と5月12日のPatch Tuesdayにセキュリティパッチをリリースしたのは偶然だったという。

　最近配信されたパッチは、「Adobe Flash Media Server 3.5.1」およびそれ以前のバージョンのセキュリティ脆弱性を修正するもので、悪用されると「Adobe Flash Media Interactive Server」または「Adobe Flash Media Streaming Server」でリモートプロシージャを実行される。

　3月に配信されたパッチは、「Adobe Reader 9」「Adobe Acrobat 9」の深刻な脆弱性を修正するものだった。この脆弱性は、悪用されると攻撃者によるコンピュータの支配につながるもので、約2カ月前からこの脆弱性を悪用した例が報告されていた。

　Arkin氏によると、Adobe Readerの問題は、「経営幹部からテスターおよび開発者まで、Adobe社内で大きな話題となった」という。その結果、Adobeのソフトウェアセキュリティへのアプローチを変更することに至ったとArkin氏は説明する。「事件が起こった際のセキュリティチームのやりとりから、コードのセキュリティアップデートプロセスまで、すべての活動を注意深く見直してきた」とArkin氏は記している。

　Arkin氏によると、Adobe ReaderとAdobe Acrobat向けのすべての新しいコードと機能には「Secure Product Lifecycle」が適用されてきたという。これは、Microsoftが大きく宣伝する「Security Development Lifecycle」と類似したものとArkin氏は述べる。Adobeは現在、レガシーコードのうち、潜在的にリスクの高いエリアのセキュリティ強化にも取り組んでいると同氏は付け加えた。

　Arkin氏はまた、社外の人々が「インシデントに関するよりタイムリーな情報のやりとり、パッチをリリースするまでにかかる時間の迅速化、より影響を受けたバージョンに対するパッチの同時リリースなどを、取り組みが進むにつれて 目の当たりにできるようになるだろう」と約束している。

　Adobe Readerにおけるセキュリティ問題を考慮して、セキュリティ企業のF-Secureは4月のRSA Conference 2009でユーザーに対し代替のPDFリーダーに切り替えるよう示唆していた。また、4月にAdobe Readerにおいて別のセキュリティホールが表面化した。