今日は 1 月の第 2 火曜日で、2013 年の最初の Patch Tuesday となります。Adobe は、この Patch Tuesday で自社のソフトウェアのいくつかの重大な脆弱性にも対処します。
Adobeは2つのセキュリティ情報を発表しました。1つ目はAPSB13-01で、Adobe Flashに関するものです。この情報では、Windows、Mac OS X、Linux、Android向けのAdobe Flash Playerのすべてのバージョンが、システムクラッシュを引き起こしたり、攻撃者が悪意のあるコードをリモートで実行したりする可能性のある脆弱性の影響を受けると述べられています。
APSB13-02は、Adobe AcrobatおよびAdobe Readerの脆弱性に関するものです。このセキュリティ情報によると、WindowsおよびMac OS X版のAdobe AcrobatおよびReader 11.0.0以前のバージョン、およびLinux版のAdobe Reader 9.xバージョンが危険にさらされています。Flashセキュリティ情報と同様に、このセキュリティ情報でも、これらの脆弱性によりシステムクラッシュが発生したり、攻撃者が影響を受けるシステムを制御できたりする可能性があると警告されています。
nCircleのセキュリティオペレーション担当ディレクター、アンドリュー・ストームズ氏は、FlashのパッチについてAdobeに不満を抱いている。「なぜAdobeは世界のためにFlashのアップデートを事前に通知しないのでしょうか? IE 10のFlashアップデートをパッチチューズデーにリリースするためにMicrosoftと連携しているのに、パッチがリリースされることを一般ユーザーに知らせるのがそんなに難しいことなのでしょうか?」
ストームズ氏は、Adobeのセキュリティ情報における情報の不足にも問題があると指摘しています。脆弱性そのものに関する詳細情報や、パッチの代わりに使用できる緩和策や回避策が不足しているため、IT管理者はパッチ適用の優先順位について賢明な判断を下すことが困難です。ストームズ氏は、「Adobeのセキュリティ情報は、『パッチを当てるか、悪用されるか』という二者択一と言えるでしょう」と述べています。
QualysのCTOであるWolfgang Kandek氏がブログ記事でAdobeのアップデートについて解説しています。Kandek氏は、Internet Explorer 10にAdobe Flash Playerが組み込まれており、新しいAdobe Flashビルドが含まれているため、MicrosoftもInternet Explorer 10のセキュリティアドバイザリ(KB2755801)を更新したと指摘しています。
Kandek氏はまた、IT管理者はColdFusionの3つの脆弱性に関するアドバイザリAPSA13-01にも注意する必要があると述べています。このアドバイザリでは回避策に関する情報が提供されており、Adobeは現在パッチの開発に取り組んでいます。
