米アドビシステムズは2007年10月22日(米国時間)、同社のPDF閲覧ソフト「Adobe Reader」および編集ソフト「Adobe Acrobat」の脆弱(ぜいじゃく)性を修正するアップデートプログラム(修正パッチ)を公開した。同社では、ユーザーに対して同プログラムの適用を強く推奨している。
Adobe Reader/Acrobatには、細工が施されたPDFファイルを開くだけで、悪質なプログラム(ウイルスなど)を実行される危険な脆弱性が見つかっている。影響を受けるのは、Internet Explorer 7(IE7)をインストールしたWindows XPのユーザー。IE5.5やIE6のユーザー、Windows Vistaのユーザーは影響を受けない。
アドビシステムズでは、10月5日付けで脆弱性に関する情報や、設定変更による回避策などを公表していたが、修正パッチなどは10月末までに公開するとしていた。そして今回、当初の予定通りに公開された。
今回公開された修正パッチは、Adobe Reader/Acrobat 8.x(バージョン8.x)を、脆弱性のないバージョン8.1.1にアップデートするプログラム。同社のWebサイトからダウンロードできる。現時点(10月23日午前10時)では英語のページしか用意されていないが、公開されているアップデートプログラムは多言語対応で、日本語版にも適用可能。
同プログラムはAdobe Reader/Acrobat 7.x以前には適用できない。適用しようとするとエラーメッセージが表示される。Adobe Reader/Acrobat 7.x以前のユーザーは、Adobe Reader/Acrobat 8.xにアップグレードしてから、アップデートプログラムを適用する必要がある。
同社では、何らかの理由でAdobe Reader/Acrobat 8.xにアップグレードできないユーザーに向けて、Adobe Reader/Acrobat 7.x用の修正パッチ(アップデートプログラム)を後日提供する予定。
なお、セキュリティベンダーであるデンマークのセキュニアなどは、今回の脆弱性の原因はAdobe Reader/AcrobatではなくWindows(Windows XPとIE7の組み合わせ)にあると主張。Adobe Reader/Acrobatは、Windowsの脆弱性を突く経路の一つにすぎないとしている。つまり、今回の修正パッチを適用すれば、PDFファイルを使った攻撃は防げるものの、別のアプリケーションを経由した攻撃は防げない。
これについては、マイクロソフトも10月10日に認めており、修正パッチ(セキュリティ更新プログラム)を近日中に公開する予定である。
- 米アドビシステムズの情報
- Adobe Reader 8.1.1アップデートプログラムのダウンロードページ
- Adobe Acrobat 8.1.1 Professional/Standardアップデートプログラムのダウンロードページ
