昨日はAdobeのセキュリティ関連でかなり忙しい一日でした。もちろん、最近ではそれほど珍しいことではないようですが。AdobeはFlashのセキュリティ上の欠陥を修正するアップデートをリリースし、続いてAdobe Readerに影響を与える脆弱性に関する新たなセキュリティアドバイザリを公開しました。
AdobeのFlash脆弱性に関するセキュリティ速報では、この問題の詳細が説明されています。「Windows、Macintosh、Linux、Solaris版のAdobe Flash Player 10.1.85.3以前のバージョン、およびAndroid版のAdobe Flash Player 10.1.95.1に重大な脆弱性が確認されました。セキュリティアドバイザリAPSA10-05に記載されているCVE-2010-3654を含むこれらの脆弱性により、アプリケーションがクラッシュし、攻撃者が影響を受けるシステムを制御できるようになる可能性があります。」
Adobeは、この問題に対処するため、Flashのアップデート版(バージョン10.1.102.64)を開発しました。影響を受けるバージョンのAdobe Flashをご利用のすべてのユーザーは、最新バージョンへのアップグレードを強く推奨します。また、Flash Player 10に移行できないユーザー向けに、Flash Player 9のパッチ版(バージョン9.0.289.0)も開発しました。Android版Adobe Flash Playerの修正プログラムはまだ提供されていませんが、Adobeは2010年11月9日にアップデートを提供する予定です。
Adobeはまた、Adobe Readerに影響を与える潜在的なセキュリティ脅威について説明したブログ記事を公開しました。「Adobeは、本日Full Disclosureリストに公開されたAdobe Readerの潜在的な問題を認識しています。サービス拒否攻撃を実証する概念実証ファイルが公開されました。任意のコード実行は実証されていませんが、実行可能である可能性があります。現在、この問題を調査中です。」
Adobeは、この問題はAdobe Acrobatには影響せず、Adobe Readerの問題を悪用した攻撃は現時点で確認されていないことを強調しています。ただし、実際のパッチやアップデートが公開されるまでの間、Adobeは脆弱なシステムを保護するためにJavaScriptブラックリストフレームワークを使用するようガイダンスを提供しています。
JavaScriptブラックリストフレームワークは、JavaScriptを完全に無効化するのではなく、脆弱なAPIをブロックするメカニズムです。このブラックリストは、WindowsレジストリとMacintosh OS XのFeatureLockdownファイルで管理されます。Adobe Readerの問題に関するブログ記事には、このフレームワークの使用方法に関する詳細な手順が記載されています。
