アドビ、初の定例パッチを公開--「Adobe Reader」と「Acrobat」の脆弱性に対応

　Adobe Systemsは、同社の人気ソフトウェア製品「Adobe Reader」と「Adobe Acrobat」に存在する脆弱性13件について、パッチをリリースした。その一部は深刻度が高いものだ。

　米国時間6月9日に公開したセキュリティアドバイザリにおいて、Adobeは「Adobe Reader 9.1.1」と「Adobe Acrobat 9.1.1」、およびそれ以前のバージョンに存在する脆弱性に対応した。同社はMicrosoftが毎月第2火曜日にパッチをリリースする「Patch Tuesday」に時期を合わせ、累積した修正を四半期ごとに定期リリースすると表明しており、今回は定例化の発表後、初のリリースとなった。

　Adobeはこのセキュリティアップデートの中で、「これらの脆弱性が原因で、アプリケーションがクラッシュしたり、攻撃者が対象システムを制御できるようになる恐れがある」と記している。

　同社は、脆弱性を持つAdobe ReaderとAcrobatのWindows版およびMac版を使用しているユーザーに対し、アップデートを推奨している。バージョン9を使用しているユーザーは9.1.2に、バージョン8を使用しているユーザーは8.1.6に、バージョン7を使用しているユーザーは7.1.3にそれぞれアップデートする必要がある。Adobeによれば、UNIX版向けのパッチは6月16日にリリースする予定だという。

　セキュリティ製品ベンダーのSourcefireで脆弱性調査担当ディレクターを務め、今回の問題をAdobeに報告したMatt Watchinski氏は、PDFやAcrobat文書がユーザーのパソコンをボットネットに取り込む不正ソフトウェアの侵入経路となっていることから、今回のパッチが必要とされていたと警告している。

　同氏はAdobeがクラッカーの標的になっていることを示唆し、「サメは水中を漂う血の匂いをかぎつけるものだ」と述べた。

　Watchinski氏は、クラッカーの標的となっていることについてAdobeを責めることは控えたものの、同社の脆弱性への対応策はさらに強化されてしかるべきだと指摘した。同氏は「Adobeがよりいっそう力を入れることを心から願う」と語っている。

　また、Qualysのセキュリティ担当エンジニア、Alex Essier氏は、Adobeに対してより主体的に意志疎通を図るよう求めている。「同社は問題を重視していることを示すため、さらに定期的にパッチを出すべきだ」と同氏は述べた。現時点でこうしたコメントに対するAdobeからの回答は得られていない。

　一方、パッチの問題は、今日のコンピュータにおけるさらに根本的な弱点を露呈させるものだとするアナリストもいる。Quocircaで主任アナリストを務めるRob Bamforth氏は、次のように述べている。「本来ならば、自分のコンピュータを数時間おきに何度もアップデートし、再起動する必要などない段階に達していていいはずだ。（だが現状では）マシンを定期的に再起動しなければならず、極めて非生産的な状況になっている」