［米国］
詳細非公開の「Adobe Reader」セキュリティ・アップデートに疑問の声

Adobeは脆弱性情報を明らかにせず

（2008年02月07日）

　米国Adobe Systemsは2月6日、セキュリティ上の脆弱性に修正した「Adobe Reader 8.1.2」をリリースした。ただし、脆弱性に関する情報がAdobeから提供されておらず、情報公開に関する同社の姿勢を疑問視する声も出ている。

　Readerの新版では27項目の不具合が修正されている。とはいえ、その大半は使い勝手にまつわる問題とされ、セキュリティ上の脆弱性に言及したReader 8.1.2のリリース・ノートには使い勝手以外の問題について書かれていない。

　脆弱性に関する情報が何も公表されない点について、一部のセキュリティ研究者たちは戸惑いを隠せない。デンマークのコペンハーゲンにある企業で、各種製品の脆弱性を追跡調査しているSecunia APSのCTO（最高技術責任者）、トーマス・クリステンセン（Thomas Kristensen）氏は、「おかしなことに、今回のセキュリティ・アップデートについては詳細な情報が何も提供されておらず、Adobeのこれまでの対応とは異なっている」と指摘する。

　ちなみに、前回のアップデート時はきわめて詳細なドキュメントが付属していた。昨年10月にReaderの不具合（悪意あるPDFファイルに組み込まれたエクスプロイトに対し、大半のWindows XPユーザーが無防備になってしまうという脆弱性）が修正されたときは、この不具合をセキュリティ上の脆弱性と位置づけ、修正個所について非常に詳しく説明したサポート文書が公開された。

　セキュリティ研究者からは、情報公開に関するAdobeの姿勢が変化したことを危惧する声も聞かれるが、nCircleのセキュリティ業務担当ディレクターであるアンドリュー・ストームズ（Andrew Storms）氏は、今回のAdobeの対応を方針転換の結果とは考えていないという。

　「まず考えたのは、脆弱性がさほど大きな問題ではないのではないかということだった。Adobeのようなベンダーには、過去の経験に基づく標準化された情報公開の方法があるわけではない。これは、公開する情報の内容や方法について厳密な自社ルールを定めているMicrosoftなどとは対照的だ」（Storms氏）

　そのうえでStorms氏は、「Microsoftと同様の対応をAdobeに求めるのは酷かもしれない」と語り、昨年10月のときと今回の対応が大きく異なるのは、Adobe側の担当者が違うといった、ごくありふれた理由によるものではないかと述べている。

　Secuniaによると、Readerに含まれる重大な脆弱性のうち、パッチが提供されていなかったのは1つだけだという。この脆弱性は情報漏洩にまつわるバグで、見つかったのは昨年3月のことだ。しかし、今回明らかになった27項目の不具合は、いずれもこのバグの内容とは一致しない。

　Adobeは、これまでに公表した（および公表しなかった）Reader 8.1.2の情報に関する質問には答えていない。

　なお、Reader 8.1.2はAdobeのWebサイトからダウンロードできるほか、Readerにバンドルされている更新ツールを使って入手することもできる。アップデート対象となるのは、Windows 2000/XP/Vista、Windows Server 2003、Mac OS X 10.4.3以降である。

(Gregg Keizer／Computerworld オンライン米国版)