Adobe は水曜日、攻撃者によって積極的に悪用されている 2 つの重大な脆弱性に対処する Adobe Reader および Acrobat 11、10、9 の緊急パッチをリリースしました。
この脆弱性は、セキュリティ企業FireEyeの研究者によって先週火曜日に発生した攻撃で発見され、翌日にはAdobeによって確認されました。Adobe Reader 10および11のサンドボックス型脆弱性対策メカニズムを回避するため、特に危険です。
Adobeは水曜日のセキュリティアドバイザリで、「Adobe ReaderおよびAcrobat XI(11.0.01以前)(WindowsおよびMacintosh版)、X(10.1.5以前)、9.5.3以前のバージョン(WindowsおよびMacintosh版)、そしてAdobe Reader 9.5.3以前のバージョン(Linux版)のセキュリティアップデートをリリースしました」と述べました。「これらのアップデートは、クラッシュを引き起こし、攻撃者が影響を受けるシステムを制御できるようになる可能性のある脆弱性を修正しています。」
できるだけ早く、 Adobe ReaderとAcrobatを水曜日にリリースされた新しいバージョンにアップデートしてください。新しいバージョンは、Adobe Reader 11.0.02、Acrobat 10.1.6、および9.5.4です。
「WindowsおよびMacintoshのユーザーは、製品のアップデートメカニズムをご利用いただけます」とAdobeは述べています。「デフォルト設定では、定期的に自動アップデートチェックを実行するように設定されています。アップデートチェックは、Adobeソフトウェアの「ヘルプ」>「アップデートを確認」を選択することで手動で開始できます。」
Adobe Reader 11の代替品
Adobeはアップデートをリリースする前に、Adobe Reader 11のユーザーに対し、既存の脆弱性に対する一時的な緩和策として、編集 > 環境設定 > セキュリティ(拡張)メニューの「安全でない可能性のある場所からのファイル」オプションを選択して保護ビュー機能を有効にすることを推奨しました。これはAdobe Reader 11にのみ搭載されている保護メカニズムですが、デフォルトでは有効になっていません。
Adobe Readerの保護されたビューでは、PDF文書の閲覧という単一の機能しか許可されないと、Adobeのコーポレートコミュニケーション担当シニアマネージャー、ヘザー・エデル氏は水曜日のメールで述べた。「Adobe Readerの保護されたビューをデフォルトで有効にすると、お客様が頼りにしている既存のワークフローが損なわれ、非常に多くのユーザーに予期せぬ影響が生じる可能性があります。」
「とはいえ、Adobe Readerの保護されたビューのリリース以来、私たちは顧客やパートナーと緊密に協力し、多数のユーザーに悪影響を与えることなく、将来のある時点でこれらの追加の保護をデフォルトにする方法を模索してきました」と彼女は述べた。
