ある匿名希望のセキュリティ研究者は、Adobeのいくつかのアプリケーションは、アーキテクチャのレベルで、OSに過剰にアクセスしていると不満を述べている。この研究者は、「信頼できないデータで動作するものが、どうして信頼されているデータに対して完全なアクセス権を持っているのだろうか」と問い、特にAdobe Readerと、ファイルの読み取りと書き込みのためにハードディスクにアクセスできる同アプリケーションの機能に言及した。
Arkin氏は、このプログラムの機能としてファイルシステム上でファイルを保存し開く必要があるため、ハードディスクに対する読み書きのアクセス権が必要だと言う。同氏は「すべてのウェブブラウザはファイルシステムに保存することができる」し、どちらのタイプのプログラムでも権限は類似していると付け加えた。
セキュリティを取るか機能を取るかというトレードオフはさておき、Adobeの製品とプロセスは、単に同社が攻撃者の格好の標的であるからというばかりでなく、市場の圧力に対する回答として変化するだろうと、BT CounterpaneのチーフテクノロジオフィサーBruce Schneier氏は言う。
一日中Adobeのアップデートを扱っているという同氏は、「Adobeがセキュリティを真剣に考えるかどうかということは、まさにビジネス上の決定だ」と述べた。
「同社がセキュリティをセールスポイントとして使えるということに気がつき始めていると考えたいが、MicrosoftがそうなるためにはLinuxが必要だった。Microsoftは競争相手がいると感じたのだ。Adobeを脅かそうと待ちかまえる第2のLinuxはあるだろうか」(Schneier氏)
複数の専門家は、そうではない、という意見で一致している。
IOActiveで侵入テストのディレクターを務めるDan Kaminsky氏は、Adobeがセキュリティの問題に関して「自社を再構成している」と称賛し、批評家に対して同社に理解を示すように示唆した。
同氏は「PDF攻撃は最近になって急増したものであり、どんなソフトウェア開発会社でも、問題に本当に対処するにはしばらく時間がかかるということを忘れてはならない」と述べ、「Flash Player 9」は「Flash Player 8」と比べてはるかに安全性が高まったと付け加えた。
「Adobeには厳重に穴をふさぐ必要のある製品があるだろうか。確かにそうだ。同社はそれを実行する過程にあるのだろうか。そのとおりだ。同社はFlash Playerでそうしたし、Adobe Readerでもそうするだろう」と同氏は言う。
「いつでも『最も深刻な脆弱性』をつく攻撃が表面化するものだ」(Kaminsky氏)
この記事は海外CBS Interactive発の記事をシーネットネットワークスジャパン編集部が日本向けに編集したものです。原文へ
CNET Japanの記事を毎朝メールでまとめ読み(無料)
「程よく明るい」照明がオフィスにもたらす
業務生産性の向上への意外な効果
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
住環境に求められる「安心、安全、快適」
を可視化するための“ものさし”とは?
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」