Adobeは本日、2つの新たなセキュリティアップデートをリリースしました。Adobe RoboHelpとAdobe InDesignのパッチはどちらも重要度が高く、影響を受けるユーザーは必要なアップデートを速やかに適用することを推奨します。
RoboHelpのセキュリティ速報では、「細工されたURLが、RoboHelpインストール環境へのクロスサイトスクリプティング攻撃に利用される可能性があります。Adobeは、上記の「解決策」セクションに記載されている手順に従って、製品インストール環境を更新することを推奨します。」と説明されています。
Adobe RoboHelpユーザーにとって残念なことに、上記のセキュリティ警告に記載されている手順は非常に複雑です。Adobeから提供されたパッチを実行して安心するほど簡単ではありません。ファイルの解凍、ファイルのバックアップ、そしてRoboHelpのバージョンや使用方法に応じて異なるパッチの実行が必要になります。
InDesignのセキュリティアラートでは、潜在的な脅威について説明しています。「Adobe InDesign CS5 7.0.2以前、InDesign Server CS5 7.0.2以前、およびInCopy CS5 7.0.2以前において、ライブラリ読み込みに関する重要な脆弱性が確認されました。この脆弱性(CVE-2010-3153)を悪用されると、攻撃者はユーザーを誘導してリモートのWebDAVまたはSMB共有上のファイルを開かせることで、任意のライブラリを読み込む可能性があります。」
ホールを修正するための手順は RoboHelp の場合よりも簡単ですが、ユーザーは InDesign、InDesign Server、または InCopy が使用されているかどうかを確認し、使用中のバージョンに適切なアップデートをダウンロードして適用する必要があります。
製品自体のアップデート機能に頼っている方には、さらに簡単な方法があります。「製品のアップデートメカニズムを利用できます。デフォルト設定では、定期的に自動アップデートチェックを実行するように設定されていますが、[ヘルプ] > [アップデートを確認] を選択することで手動で有効にすることもできます。」
AdobeはAdobe AcrobatとAdobe Readerについて四半期ごとのパッチアップデートサイクルを採用していますが、その他のAdobe製品は必要に応じてパッチとアップデートを提供しています。来月、AdobeはAdobe Reader Xをリリースします。このバージョンには、より優れたセキュリティ制御を提供する「Adobe Reader保護モード」と呼ばれるサンドボックス機能が搭載されています。
Adobe は、RoboHelp と InDesign のいずれの脆弱性も、現時点では悪用される事例は知られていないことを強調していることは注目に値します。
