「Reader 9.4.1」と「Acrobat 9.4.1」では、既に攻撃の発生が伝えられている深刻な脆弱性を解決した。
米Adobe Systemsは11月16日、予告通りにReaderとAcrobatの臨時アップデートを公開した。既に社外で情報が公表され、攻撃の発生も伝えられた深刻な脆弱性に対処している。
同社のセキュリティ情報によると、脆弱性はReader 9.4までのバージョン(Windows、Mac、UNIX向け)とAcrobat 9.4までのバージョン(Windows、Mac向け)に存在する。それぞれ更新版の「Reader 9.4.1」と「Acrobat 9.4.1」で問題を解決した。なお、UNIX向けのReader更新版は一足遅れて11月30日にリリース予定。また、Android向けのReaderは今回の脆弱性の影響を受けないという。
今回対処した脆弱性のうち、ReaderとAcrobatに組み込まれている「authplay.dll」コンポーネントのメモリ破損問題は、リモートからのコード実行に利用される恐れがある。10月にこの問題が発覚した時点で既に、これを悪用した攻撃の発生が伝えられていた。
もう1件の脆弱性はReaderのみに存在する。こちらも事前に情報が公表され、サービス妨害(DoS)のコンセプト実証コードが公開されていた。潜在的には任意のコード実行に利用される恐れもあるという。なお、この問題はReaderのバージョン8.xも影響を受けるが、今回更新版が公開されたのはバージョン9.xのみ。8.xの更新版は先送りされ、現時点で未解決のままとなっている。
Adobeは通常、ReaderとAcrobatのアップデートを3カ月に1度のペースで定期的に公開しているが、今回は深刻な脆弱性が相次いで発覚したため臨時で対処した。次回の定例アップデートは2011年2月8日に公開を予定している。
企業向け情報を集約した「ITmedia エンタープライズ」も併せてチェック
Copyright © ITmedia, Inc. All Rights Reserved.