「Adobe Reader」「Acrobat」「Flash Player」がセキュリティアップデート

 米Adobe Systemsは8日、「Adobe Reader」「Acrobat」「Flash Player」のセキュリティアップデートを公開した。悪用されると攻撃者にシステムを操作される可能性がある脆弱性を修正しており、同社ではユーザーに対して最新バージョンへのアップデートを推奨している。

 Windows/Macintosh版のAdobe Reader/Acrobat XIの最新バージョンは「11.0.1」。このほか、システム環境の制約などによりXI系列に移行できないX/9.x系列ユーザー向けにも、同様に脆弱性を修正したバージョン「10.1.5」「9.5.3」をそれぞれ公開。また、Adobe ReaderはLinux版の「9.5.3」も公開している。

 修正した脆弱性は、CVE番号ベースで27件に上る。緊急度は4段階中で最も高い"Critical"とのレーティングだが、アップデート適用の優先度はOSやバージョンによって異なる。Windows版のAdobe Reader/Acrobat 9.5.3のみが、3段階中で最も高い"Priority 1"とのレーティングで、他は2番目の"Priority 2"。

 このほか、Windows版のAcrobat XIについては今回、アップデート機能にフルオートモードが追加されたという。Adobe Readerでは従来より提供されていたモードで、重要なアップデートを定期的にチェックし、自動的にダウンロードおよびインストールする。

 また、Adobe Reader/Acrobat 10.1.5におけるFlashコンテンツの処理方法を変更。未知のFlashコンテンツ(Adobe製品に含まれる安全が確認されているFlashコンテンツ以外)は、システムに別途インストールされているNPAPI版のFlash Playerでレンダリングするようにした。これにより、Flash Playerのセキュリティアップデートが出る度にAdobe Reader/Acrobat Xをアップデートする必要がなくなる。この仕組みはAdobe Reader/Acrobat XIではすでに導入されていた。

 なお、Adobe Reader/Acrobat 9.xについては、今年6月26日でサポート期間が終了となることを改めて説明し、ユーザーに注意を促している。

 Flash Playerの最新バージョンは、Windows/Macintosh版が「11.5.502.146」、Linux版が「11.2.202.261」、Android 4.x版が「11.1.115.36」、Android 3.x/2.x版「1.1.111.31」となる。また、Adobe AIRについても、Windows/Macintosh/Android/SDK向けの最新バージョン「3.5.0.1060」が公開された(AIR for iOSを含む)。

 また、Flash Playerを統合しているウェブブラウザーについては、Windows/Macintosh/Linux版のGoogle ChromeとWindows 8のInternet Explorer 10において、それぞれウェブブラウザーの最新バージョンで修正版のFlash Playerにアップデートされるとしている。

 修正した脆弱性は、CVE番号ベースで1件。緊急度は4段階中で最も高い"Critical"。アップデート適用の優先度は、Windows版が最も高い"Priority 1"、Macintosh版が"Priority 2"、そのほかが"Priority 3"。

 なお、緊急度"Critical"の脆弱性とは、「もし悪用された場合、不正なネイティブコードが実行される恐れのある脆弱性」で、「場合によっては、ユーザーの知らぬ間に不正コードが実行されることもある」。

 また、優先度"Priority 1"のアップデートとは、「現在攻撃の対象となっている脆弱性、または攻撃対象になるリスクが比較的に高い脆弱性」を解決するもので、「直ちに(例えば72時間以内)適用すること」を推奨している。"Priority 2"は、「過去に攻撃リスクが高いとされたことのある脆弱性」を解決するものだが、現時点では攻撃対象になっているとの報告はなされておらず、過去の実績からみて今後悪用されることにはならないとAdobeが判断したもので、「近い将来に(例えば30日以内)適用すること」を推奨。"Priority 3"は、「過去に攻撃者の標的になったことのない脆弱性」を解決するもので、「システム管理者が判断したタイミングで適用すること」を推奨している。

InternetWatch
http://internet.watch.impress.co.jp/docs/news/20130109_581083.html