修正した脆弱性は13件それとも400件？ Googleの主張にAdobeが釈明

Flash PlayerのセキュリティアップデートにAdobeが記載したCVE番号（脆弱性識別番号）は13件。これに対してGoogleの研究者が「Adobeは約400件の脆弱性を修正した」と主張した。

[鈴木聖子，ITmedia]

　米Adobe Systemsは8月9日に公開したFlash Playerのセキュリティアップデートで何件の脆弱性に対処したのか――。Adobeが公表した脆弱性の件数にGoogleの研究者が異議を唱え、Adobeが釈明に追われた。

　Adobeは9日にセキュリティ情報を公開した時点で、同アップデートで修正した脆弱性として13件のCVE番号（脆弱性識別番号）を記載していた。

　これに対してGoogleのセキュリティ研究者テービス・オーマンディ氏が10日、Twitterで「Adobeは現在進行中のセキュリティ監査の一環として、私が伝えた約400件の脆弱性を修正した。タイポではない」「数が多すぎて体面が悪いので、彼らは結果を覆い隠そうとしている」とかみついた。

　この問題がメディアで取り上げられたことなどを受け、Adobeは12日のブログで「GoogleのCVEに対するアプローチがAdobeと異なっていたことから混乱を招いた」と釈明した。

　それによると、Adobeでは外部から報告された脆弱性や修正前に悪用コードが出回った脆弱性などについてCVE番号を個別に割り当てている。一方、Adobe社内で発見しAdobe Secure Product Lifecycle（SPLC）の一環として解決したバグや、パートナーなどとの連携により発見したバグについてはCVE番号を割り当てていないという。

　「CVE番号の割り当ては、1つの製品内、あるいは組織内では比較的一貫しているが、1つのベンダーを別のベンダーと比べると大きく異なることもある。脆弱性評価のためにCVEの数だけで別々の製品を比較するのは、一般的には良くないやり方だ」と同社は主張する。

　9日のセキュリティ情報については、協力者としてオーマンディ氏とGoogle Chromeチームの名を明記したが、バグ修正はAdobeとGoogle Chromeチームとの共同作業によるSPLCの一環と判断してCVEは割り当てなかったと説明した。

　ただし実際には、Googleとの共同作業で当初約400件のクラッシュシグネチャが見つかり、最終的なアップデートでこれらバグに対処するために約80件のコード変更を盛り込んだことも明らかにした。セキュリティ情報は12日付で改訂し、この一連のバグについて記載した「CVE-2011-2424」を新たに付け加えた。

　Adobeの釈明を受けてGoogleのオーマンディ氏をはじめとするセキュリティチームも同日、ブログでこの問題を取り上げ、「これほど多くの問題をこれほどの短期間で修正するのは、Adobeがセキュリティに対し真剣に取り組んでいることを示すもの」と評価に転じた。