Adobeは最近、Adobe FlashとAdobe Readerの脆弱性を悪用した新たな攻撃により、不当な理由でメディアを賑わせています。Adobeは、大規模なアップデートにより、セキュリティ上の脆弱性に対処し、深刻な問題を多数修正しました。
IT管理者とセキュリティ専門家にとって、今週は非常に忙しい週でした。Microsoftは6月の月例パッチで34件の脆弱性を修正する10件のセキュリティ情報を公開し、続いて新たに発見されたゼロデイ脆弱性に関するセキュリティアドバイザリを公開しました。AppleはSafariウェブブラウザのアップデートをリリースし、48件のセキュリティ脆弱性を修正しました。そして今、Adobeも独自の大規模なセキュリティアップデートでこの流れに加わりました。
「Adobeの本日のFlashアップデートには、なんと32件ものバグ修正が含まれており、Appleの大規模アップデートを不気味に彷彿とさせます。世界中のセキュリティチームにとって、ここ数週間は多忙を極めました」と、nCircleのセキュリティオペレーションディレクター、アンドリュー・ストームズ氏も同意し、「Adobeはまさに新しいMicrosoftのようです。セキュリティ研究者が新しいバグを見つけるのを喜んでいる場所です」と付け加えました。
Websenseは5月29日付のアラートで、Adobe Flashの脆弱性が、感染した多くのウェブサイトでドライブバイダウンロードを通じて悪用されていると説明しています。「Websense ThreatSeekerはこれらの悪意あるウェブサイトを追跡しており、多くの評判の良いウェブサイトが意図せずして加害者となり、訪問者を感染させていることを発見しました。これらのサイトは、政府、教育、医療、金融、メディア、エンターテインメントなど、様々な業界のサイトです。この攻撃は、MDAC、RealPlayer、各種ActiveXコントロールといった他の一般的な脆弱性も悪用しようとします。」
ストームズ氏は次のように説明しています。「先週大きな注目を集めたゼロデイバグは、Adobeがしばらく前から抱えていたことは明らかです。Adobeがこのバグを短期間で修正しようと英雄的な努力をしたように見えるかもしれませんが、実際には、修正にかなり前から取り組んでいて、パッケージングと品質保証のプロセスを終えたばかりである可能性の方がはるかに高いでしょう。」
根強いセキュリティ問題が、iPhoneとiPadへのFlashの導入をめぐるAppleとAdobeの争いに火をつけています。AppleのCEO、スティーブ・ジョブズ氏は、Flashに反対する理由の一つとしてセキュリティ上の懸念を挙げています。しかし、セキュリティ上の懸念がiPhoneとiPadからソフトウェアを禁止する理由であるならば、今年のPwn2Ownコンテストでわずか数分でiPhoneをハッキングするために悪用されたSafariウェブブラウザについて、Appleは再考する必要があるかもしれません。
興味深い余談だが、Google のセキュリティ研究者で、Microsoft にわずか 4 日間の分析期間を与えた後に Windows XP のゼロデイ脆弱性を早まって公表したことで話題になった Tavis Ormandy 氏も、この Adobe セキュリティ アップデートで対処された 9 つの脆弱性を発見している。
オーマンディ氏がAdobeにバグを報告し、発見した内容を公表する前にAdobeが十分な時間をかけて分析・修正を行ったという事実は、Microsoftの脆弱性に関する彼の動機に疑問を投げかけます。この矛盾はオーマンディ氏の忠誠心を示すものかもしれませんが、Google自体が今回の情報開示に関係している、あるいはGoogleとMicrosoftの間により大きな陰謀が働いていると推測すべきではありません。
Adobe が修正した脆弱性は、Windows、Macintosh、Linux、Solaris 版の Adobe Flash Player 10.0.45.2 およびそれ以前のバージョン、および Windows、Macintosh、Linux 版の Adobe AIR 1.5.3.9130 およびそれ以前のバージョンに影響します。IT 管理者は、この Adobe セキュリティ速報でセキュリティ問題に関する詳細情報を入手し、影響を受けるソフトウェアをできるだけ早く更新する必要があります。
TonyのFacebookページをフォローするか、[email protected]までメールで連絡を取ることができます 。また、 @Tony_BradleyPCWとしてもツイートしています。
