以前お知らせした通り、AdobeはReaderおよびAcrobatの定例外アップデートをリリースしました。これは、先月のBlack Hatセキュリティカンファレンスで明らかになった脆弱性に対処するものです。このアップデートは「緊急」と評価されており、影響を受けるシステムに直ちに適用する必要があります。
Adobe製品セキュリティインシデント対応チーム(PSIRT)のブログ投稿によると、「今回のアップデートは、先日開催されたBlack Hat USA 2010セキュリティカンファレンスで議論されたCVE-2010-2862や、セキュリティ速報APSB10-16に記載されている8月10日のAdobe Flash Playerアップデートで修正された脆弱性など、製品の重大なセキュリティ問題に対処しています。Adobeは、ユーザーの皆様に製品インストール時にこれらのアップデートを適用することを推奨します。」
Adobe 社はまた、このセキュリティ情報で取り上げられている問題に関して、実際に悪用された事例は確認されていないこと、また、このリリースによって次回の四半期アップデートの予定日 (2010 年 10 月 12 日のまま) に影響が及ばないことも強調しました。
どうやら、私は過去に四半期ごとのアップデートサイクルの範囲について誤った説明をしていたようです。Adobeの広報担当者から連絡があり、Adobeのプロセスについて説明を受けました。「四半期ごとのアップデートサイクルはAdobe ReaderとAcrobatに特有のものです。他のAdobe製品チームは、Adobeのセキュアソフトウェアエンジニアリングチーム(ASSET)と連携して、適切なアップデートを提供しています。そのため、Adobe ReaderとAcrobatのパッチサイクルとは異なる場合があります。」
nCircleのセキュリティオペレーション担当ディレクター、アンドリュー・ストームズ氏は、Adobeのセキュリティ情報に次のようにコメントしています。「Adobeはリリースメカニズムを確実に改善しました。今回は、アウトオブバンドパッチを提供する旨の通知がありました。しかし残念ながら、最初の発表以降、リリースの正確な日付が変更され、企業のセキュリティチームは頭を悩ませています」。さらに、「Adobeが当初正確なリリース日を公表できなかったことで、多くのユーザーがリリースエンジニアリングサイクルに不安を抱いています」と付け加えています。
ストームズ氏は、Adobe の詳細とガイダンスがやや物足りないと感じている。「Adobe は、セキュリティ情報で有用な詳細情報を提供するという点において、特に他のベンダーと比べてまだ長い道のりを歩んでいます。いつものことながら、今回のセキュリティ情報には有用な詳細情報と緩和策が欠けています。」
しかし、ストームズ氏が指摘したように、Adobeは改善を続けています。Adobeの広報担当者は、「多くの製品、特にクライアントが比較的広く普及し、クロスプラットフォームで利用されていることを考えると、Adobeは攻撃者の注目を集めており、今後も注目を集め続ける可能性が高いでしょう。しかしながら、Adobeは製品の開発とセキュリティ問題への対応において、業界をリードするセキュリティソフトウェアエンジニアリングのプラクティスとプロセスを採用しており、お客様のセキュリティは常にAdobeにとって最優先事項です」とコメントしました。
Adobe 製品のパッチ適用を自動化するアップデータ ユーティリティが今年初めに実装され、サンドボックスなどのセキュリティ対策を将来の製品リリースに組み込む取り組みと、Microsoft や主要なセキュリティ ベンダーと直接連携して製品のセキュリティを向上させ、重要なパッチの開発に必要な時間を短縮する Adobe の取り組みは、すべてセキュリティに対する Adobe の取り組みを実証しています。
今後、Adobe が脆弱性の詳細とその悪用方法、そしてアップデート適用に代わる攻撃防止策について、より詳細な情報を提供してくれることを期待しています。IT 管理者は、適切なリスク分析を行い、アップデートの適用までの間、あるいは何らかの理由でシステムにパッチを適用できない場合に備えて、悪用を防ぐ代替手段を提供するために、こうした情報を必要としています。
現時点では、マルウェア開発者が追いついてこれらの脆弱性を悪用し始める前に、すべての脆弱なシステムに Adobe Reader、Acrobat、および Flash のアップデートを適用することをお勧めします。
Twitter で TechAudit をフォローしてください。
