Adobeは昨日、Adobe ReaderとAcrobatのメジャーセキュリティアップデートをリリースしました。これは、来週火曜日に予定されている四半期ごとのセキュリティアップデートの1週間前倒しです。同時に、Adobeは、今後導入されるAdobe Readerの保護モードに搭載される「サンドボックス」が、脆弱性が存在する場合でもエクスプロイト攻撃を阻止する仕組みについて、概要を示しました。
Adobeの定例外アップデートでは、AcrobatとReaderの脆弱性が23件も修正されています。これらの脆弱性のほとんどは深刻なもので、少なくとも1つは1ヶ月以上前から標的型PDF攻撃で悪用されてきました。
Adobeは、自社製品のクロスプラットフォームかつユビキタスな性質が、エクスプロイトやマルウェアの主要な標的となっていることを認識し、コーディング手法の改善と、本質的により安全なソフトウェアの開発に取り組んできました。しかし、Adobe、あるいは他の開発者が、完全に安全なソフトウェアを開発できると期待するのは無理があり、攻撃を防ぐには他の防御策が必要です。
ここで「サンドボックス」の登場です。Adobe Secure Software Engineering Team (ASSET) ブログの Kyle Randolph 氏の投稿で、この概念が定義されています。「サンドボックスとは、アプリケーションを限定された実行環境で実行するためのセキュリティメカニズムであり、特定の機能(ファイルのインストールや削除、システム情報の変更など)が禁止されています。Adobe Reader では、「サンドボックス」(「保護モード」とも呼ばれます)によって、PDF ファイル内の悪意のあるコードが Adobe Reader サンドボックス内に封じ込められ、ユーザーのシステム上での権限昇格による実行を阻止することで、防御層がさらに強化されます。」
ASSETのブログ記事では、サンドボックス化アプローチの限界についても説明されています。「サンドボックスはオペレーティングシステムに依存しているため、オペレーティングシステムの欠陥の影響を受ける可能性があります。Google Chromeサンドボックスと同様に、Adobe Readerの保護モードサンドボックスはWindowsのセキュリティモデルとそれが提供するオペレーティングシステムのセキュリティを活用しています。この本質的な依存関係により、サンドボックスはオペレーティングシステム自体の脆弱性やバグから保護することはできません。」
Adobeはまた、Adobe Readerの保護モードは現在開発中であり、サンドボックス化の初期実装では対応できないシナリオもあると述べています。例えば、Adobe Readerの保護モードの最初のリリースでは、クリップボードの読み書き、ファイルシステムやレジストリへのアクセス、ネットワークのトラバースといったエクスプロイトを防御することはできません。
これらの制限が示すように、サンドボックス化も完全なセキュリティ対策ではありません。マルウェア開発者は一般的に巧妙な集団であり、サンドボックスを回避してAdobe Readerの脆弱性を悪用する方法があれば、必ず見つけ出します。しかし、追加の障壁とセキュリティ層を設けることで、Adobe Readerへの攻撃はより困難になり、侵害の可能性を最小限に抑えることができます。
ちょっとした補足です。Adobeは、今週のReaderとAcrobatのパッチが、2010年10月12日に予定されていた四半期ごとのアップデートに代わるものだと指摘しています。どうやらAdobeは「四半期ごと」という概念、あるいは単純な計算を理解していないようです。Adobeの次回の定期アップデートは、今から3ヶ月後の1月になるはずですが、Adobeは2011年2月8日に予定されていると発表しています。
