米アドビシステムズは2010年9月30日(米国時間)、「Adobe Reader」と「Acrobat」に見つかっている脆弱(ぜいじゃく)性を修正するセキュリティアップデート(修正版/修正パッチ)を、10月5日(同)に公開することを明らかにした。
Adobe ReaderとAcrobatには、パッチや修正版が未公開の脆弱性が2件確認されている。10月5日に公開されるセキュリティアップデートでは、これらを含む複数の脆弱性が修正される。
確認されている脆弱性のうち1件は、PDFファイルの処理に関するもの(識別番号CVE-2010-2883)。細工が施されたPDFファイルを開くだけで、中に仕込まれたウイルスを勝手に実行される危険性がある。
実際、脆弱性を悪用するPDFファイル(ゼロデイ攻撃)が確認されている(図)。このため同社では、9月8日にセキュリティ情報を公開し、注意を呼びかけた。
確認されているもう1件の脆弱性は、Flashコンテンツ(swfファイルなど)の処理に関するもの(識別番号CVE-2010-2884)。Adobe ReaderとAcrobatだけではなく、Flash Playerも影響を受ける。
この脆弱性については、Flash Playerのみを狙ったゼロデイ攻撃が確認されている。Flash Playerについては、9月20日に公開されたバージョン10.1.85.3(Android向けはバージョン10.1.95.1)で修正済み。
アドビシステムズでは、これらの脆弱性を修正するセキュリティアップデートを、10月4日からの週に提供することを表明していた。そして今回、10月5日に公開することを明らかにした。これは米国時間なので、日本時間では10月6日になると予想される。
同社では、Adobe ReaderとAcrobatのセキュリティアップデートを、四半期に一度、定期的に公開している。次回の定例公開日は10月12日を予定していたが、これを早めて、10月5日に公開することにした。このため当初予定していた10月12日には、セキュリティアップデートを公開しないとしている。
Adobe Reader/Acrobatのセキュリティアップデートは、「ヘルプ」メニューで「アップデートの有無をチェック」を選択すれば、ダウンロードおよびインストールできる。セキュリティアップデートが公開されたら、できるだけ早急に適用したほうがよい。
Adobe Reader/Acrobatの自動更新機能を有効にしておけば、セキュリティアップデートは自動的に適用される。例えば、Windows版のAdobe Reader 9.2以降では、「編集」メニューから「環境設定」を選択。表示されたダイアログの分類で「アップデーター」を選び、「自動的にアップデートをインストールする」にチェックを入れると、自動更新機能は有効になる。
