MSからアドビへ--変化するセキュリティ上の攻撃対象 - (page 4)

　ある匿名希望のセキュリティ研究者は、Adobeのいくつかのアプリケーションは、アーキテクチャのレベルで、OSに過剰にアクセスしていると不満を述べている。この研究者は、「信頼できないデータで動作するものが、どうして信頼されているデータに対して完全なアクセス権を持っているのだろうか」と問い、特にAdobe Readerと、ファイルの読み取りと書き込みのためにハードディスクにアクセスできる同アプリケーションの機能に言及した。

　Arkin氏は、このプログラムの機能としてファイルシステム上でファイルを保存し開く必要があるため、ハードディスクに対する読み書きのアクセス権が必要だと言う。同氏は「すべてのウェブブラウザはファイルシステムに保存することができる」し、どちらのタイプのプログラムでも権限は類似していると付け加えた。

　セキュリティを取るか機能を取るかというトレードオフはさておき、Adobeの製品とプロセスは、単に同社が攻撃者の格好の標的であるからというばかりでなく、市場の圧力に対する回答として変化するだろうと、BT CounterpaneのチーフテクノロジオフィサーBruce Schneier氏は言う。

　一日中Adobeのアップデートを扱っているという同氏は、「Adobeがセキュリティを真剣に考えるかどうかということは、まさにビジネス上の決定だ」と述べた。

　「同社がセキュリティをセールスポイントとして使えるということに気がつき始めていると考えたいが、MicrosoftがそうなるためにはLinuxが必要だった。Microsoftは競争相手がいると感じたのだ。Adobeを脅かそうと待ちかまえる第2のLinuxはあるだろうか」（Schneier氏）

　複数の専門家は、そうではない、という意見で一致している。

　IOActiveで侵入テストのディレクターを務めるDan Kaminsky氏は、Adobeがセキュリティの問題に関して「自社を再構成している」と称賛し、批評家に対して同社に理解を示すように示唆した。

　同氏は「PDF攻撃は最近になって急増したものであり、どんなソフトウェア開発会社でも、問題に本当に対処するにはしばらく時間がかかるということを忘れてはならない」と述べ、「Flash Player 9」は「Flash Player 8」と比べてはるかに安全性が高まったと付け加えた。

　「Adobeには厳重に穴をふさぐ必要のある製品があるだろうか。確かにそうだ。同社はそれを実行する過程にあるのだろうか。そのとおりだ。同社はFlash Playerでそうしたし、Adobe Readerでもそうするだろう」と同氏は言う。

　「いつでも『最も深刻な脆弱性』をつく攻撃が表面化するものだ」（Kaminsky氏）