アドビシステムズは11日、深刻な複数の脆弱性を修正したAdobe Reader/Acrobatの最新版「X(10.1.3)」を公開した。バージョンXにアップグレードできないユーザー向けに、「9.5.1」も公開されている。
対象となるのは、Adobe Reader X/Acrobat Xの10.1.2以前(Windows版/Macintosh版)、9.5以前(Windows版/Macintosh版)と、Adobe Reader 9.4.6以前(Linux版)。
最新版では、True Type Fontの処理で整数オーバーフローが起こる問題、JavaScriptの処理でメモリ破壊が起こる問題、Adobe Readerのインストーラーでセキュリティ機能のバイパスが起こる問題など、コード実行につながるおそれのある脆弱性が複数修正されており、同社は脆弱性のセキュリティ緊急度を最も高い「Critical」と位置づけている。
今回のアップデートの優先度は、Windows版の9.5.1のみ最優先の「1」に、それ以外は「2」とされている。Adobe Secure Software Engineering Team(ASSET)のブログによると、9.5以前の脆弱性がすでに悪用されているということではなく、これまで攻撃のターゲットとされてきたバージョン9.xについては「1」に、保護モードや保護されたビューで攻撃を回避できるバージョンXと、過去に攻撃対象となったことがないMacintosh版とLinux版は「2」にしたという。
Windows版とMacintosh版のAdobe Reader/Acrobatは、初期設定では一定期間ごとに自動アップデートが行われる設定になっているが、[ヘルプ]メニューの[アップデートの有無をチェック]から手動でアップデートすることもできる。Adobeのサイトから最新版をダウンロードすることも可能だ。
なお、これまでAdobe Reader/Acrobatのアップデートは四半期ごとに公開されてきたが、今後は毎月、マイクロソフトの月例パッチと同じ日に公開されることになった。緊急時には、定例外のアップデートも提供される。
(2012/04/11 ネットセキュリティニュース)
【関連URL】
・Security updates available for Adobe Reader and Acrobat[英文](Adobe)
http://www.adobe.com/support/security/bulletins/apsb12-08.html
・Background on Security Bulletin APSB12-08[英文](ASSET Blog)
http://blogs.adobe.com/asset/2012/04/background-on-security-bulletin-apsb12-08.html