米アドビシステムズで同社製品のセキュリティを統括するブラッド・アーキン氏は2011年1月28日、同社製品のセキュリティについて解説した(図1)。例えば、Adobe Readerの最新版「Adobe Reader X」ではセキュリティを強化したため、同製品を狙った攻撃は確認されていないという。
アドビシステムズでは、同社製品のセキュリティに力を入れているという。その一つが、Adobe Readerのセキュリティ強化。2010年11月にリリースした最新版Adobe Reader XのWindows版では、「保護モード(Protected Mode)」と呼ばれる機能を実装し、攻撃を受けにくくした。
一般的に「サンドボックス」と呼ばれるこの機能では、特定のアプリケーション(ここではAdobe Reader)を「保護された処理環境(サンドボックス化された処理環境)」で実行し、ハードディスクへの書き込みなどをできないようにする(図2)。これにより、脆弱性を悪用されてAdobe Readerを乗っ取られた場合でも、ウイルス感染などを防ぐことができる。
保護モードは、脆弱性を悪用した攻撃を受けた場合でも、被害を深刻にしないための緩和策。しかしながら現時点では、「そもそも、Adobe Reader Xを狙った脆弱性悪用攻撃が出現していない」(プロダクトセキュリティおよびプライバシー担当シニアディレクターを務めるアーキン氏)。Adobe Reader Xに脆弱性が見つかっていないためだ。
アーキン氏によれば、Adobe Reader Xでは、基本的な設計や実装において、以前のバージョンよりもセキュリティを強化しているという。このため、「リリースされてから2カ月間、セキュリティ研究者などがAdobe Reader Xを検証しているが、脆弱性は報告されていない」(同氏)。
