MSからアドビへ--変化するセキュリティ上の攻撃対象 - (page 3)

文:Elinor Mills(CNET News) 翻訳校正:川村インターナショナル2009年08月25日 07時30分

 公平を期して言えば、Adobeは正しい方向に向かっている。Adobeは5月に、Adobe Readerのゼロデイホールをきっかけとして、パッチを3カ月ごとにリリースし始めることを決め、アップデートの日程をMicrosoftのパッチと同じ火曜日のリリースとした。

 Arkin氏はAdobeがこの発表をしたとき、同社は「問題発生時のセキュリティチームのコミュニケーションから、コードに対するセキュリティアップデートプロセスそのものに至るまですべて」を見直していると語った。同氏はまた、ユーザーは、「われわれが前進するにつれ、問題についてのよりタイムリーなコミュニケーション、より迅速なパッチのリリース、より多くの影響を受けるバージョンに対する同時パッチを経験することになるだろう」と約束した。

 同社は、MicrosoftのActive Template Library(ATL)の脆弱性の影響を受けたソフトウェアに対する修正をリリースした、最初のサードパーティーベンダーだとArkin氏は言う。ATLは、ウェブアプリケーションのコンポーネントを構築するのに使われているが、攻撃を受けていた。

 同氏は、「われわれはAdobeの製品ポートフォリオ全体を徹底的に調査し、今日実際に使用されている200以上の製品を評価し、どれに脆弱性があるかを判定した」と述べ、「Shockwave Player」とFlash Playerの修正が数週間以内にリリースされたと付け加えた。

 Adobeが4月27日に発見した、Adobe ReaderとAdobe Acrobatを標的としたゼロデイ攻撃については、およそ2週間後に修正されたと同氏は言う。またAdobeは、7月終わりに、攻撃を受けていたFlash Playerの深刻な問題に対処するパッチをリリースした。この問題は、攻撃者がブラウザで表示されたコンテンツを経由してコンピュータをのっとることができるというものだった。

 Arkin氏は、このパッチをリリースするまでの時間について、「われわれはこのパフォーマンスにかなり満足している」と語った。

 同社はまた、「レガシーコードを丹念に調べる」ことにも目を向けており、製品を全体的に改善するためのさらなる方法を模索していると同氏は言う。「Adobeは、Microsoftやほかの企業で見られるベストプラクティスを集約している」(Arkin氏)

CNET Japanの記事を毎朝メールでまとめ読み(無料)

-PR-企画特集

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]