米アドビシステムズは13日(米国時間)、Adobe Reader/Acrobatの定例セキュリティアップデータを公開した。深刻な脆弱性が複数修正されており、アドビでは対象製品を使用しているすべてのユーザーにアップデートを推奨している。
脆弱性が存在するのは、Adobe Reader/Acrobat X「10.1」およびそれ以前のバージョンと、「9.4.5」およびそれ以前のバージョン。Windows版とMachintosh版の最新バージョンは、「10.1.1」「9.4.6」となる。なお、UNIX版の「9.4.6」は11月7日(米国時間)に公開予定とされている。
最新版への更新は、製品の「ヘルプ」メニューの「アップデートの有無をチェック」から行える。また、Adobeのサイトからも最新版がダウンロードできる。
また、同日、Adobe Approved Trust List(AATL)が更新され、信頼済みルート証明書のリストからDigiNotarのルート証明書が削除された。
Adobe Reader X/Acrobat Xでは、自動的にAATLが更新されるので、対応は不要だ。バージョンが9の場合、現状では手動で削除を行う必要がある。具体的には、ツールバーの[文書]→[信頼済み証明書]と進み、[表示]のプルダウンメニューで[証明書]を選択。証明書のリストが表示されるので、その中に「DigiNotar Qualified CA」があった場合は、これを選んで右側の[削除]を押す。
なお、バージョン9も、今後、AATLの自動更新に対応する予定だという。
(2011/09/14 ネットセキュリティニュース)
【関連URL】
・Security updates available for Adobe Reader and Acrobat[英文](Adobe)
http://www.adobe.com/support/security/bulletins/apsb11-24.html
・DigiNotar removed from Adobe Approved Trust List(AATL)[英文](Adobe PSIRT Blog)
http://blogs.adobe.com/psirt/2011/09/diginotar-removed-from-adobe-approved-trust-list-aatl.html
【関連記事:ネットセキュリティニュース】
・不正証明書問題続報(1) Mac OS X が対応/Adobe Readerは最新版で対応(2011/09/12)
・DigiNotar社偽証明書問題~マイクロソフト、グーグル、モジラが対応更新(2011/09/07)
・グーグルのサーバー証明書が第三者の手に(1)~イランで「中間者攻撃」発生(2011/09/01)
・グーグルのサーバー証明書が第三者の手に(2)~対応に追われるベンダー(2011/09/01)