アドビ、Adobe ReaderとAcrobatの脆弱性に対処するパッチを公開

　Adobe Systemsは米国時間3月10日、「Adobe Reader 9」および「Adobe Acrobat 9」に存在する深刻な脆弱性を修正するセキュリティアップデートを発表した。攻撃者は、この脆弱性を利用してコンピュータを完全に乗っ取ることが可能で、伝えられるところによると、実際に悪用された攻撃も発生していたという。

　Adobeはユーザーに対し、2週間以上前にこの脆弱性について警告し、3月11日までにセキュリティアップデートをリリースすると約束していた。

　この脆弱性は基本的に、攻撃者がパッチ未適用のシステム上のセキュリティホールを利用してメモリをバッファオーバーフローで上書きし、バックドアをインストールして、そのバックドアを通じてシステムを遠隔操作するというもの。

　Adobeのアドバイザリによると、同社はAdobe Reader 7、8、およびAcrobat 7、8向けセキュリティアップデートを3月18日までにリリースし、さらにUNIX版Adobe Reader 9.1向けアップデートを3月25日までにリリース予定だという。

　また、セキュリティアドバイス機関のU.S. Computer Emergency Readiness Team（US-CERT）は10日、PDFファイルのインデックス付けを行うWindows Indexing ServiceとWindows Explorer Shell Extension関連の脆弱性に対する2つの新しい攻撃ベクトルについて一般から複数の報告が寄せられていると発表した。

　US-CERTのアドバイザリによると、この脆弱性は、Windows Indexing Serviceがシステムに保存されている悪意あるPDFファイルを処理した場合、またはWindows Explorerが悪意あるPDFファイルを含むフォルダを表示した場合、ユーザーがほとんど、あるいは全く関与しなくても悪用される恐れがあるという。

　Microsoftも同日、3月のPatch Tuesday（同社が最新パッチを公開する毎月第2火曜日）の一環として、Windowsに存在する多くの緊急レベルと重要レベルの脆弱性に対するセキュリティアップデートをリリースした。

　あるセキュリティ専門家は、Adobeは今回明らかになった脆弱性の存在を認めるのが遅かった上に、その問題が発生してから何の発表もなかったと不満を述べている。

　nCircleのセキュリティ業務担当ディレクターであるAndrew Storms氏は、「早期のパッチ公開には大きなメリットがある。しかし、事前に計画されていたMicrosoftの3月の月例パッチと同日にパッチをリリースすることは、エンタープライズリソースプラニングにとって災いとなる。Adobeはコミュニケーション不足であるとの印象はぬぐえない」