アドビの「Illustrator」に脆弱性発覚――ハッカーに悪用されるおそれも
修正パッチの配布は12月8日か
米国Adobe Systemsのセキュリティ対策チームが、同社の「Illustrator」で新たに発見された脆弱性の修復に奔走している。Adobeは来週もほかの修正パッチをリリースする予定で、現在その準備を進めているところだ。
発端は12月1日、匿名のハッカーが実証攻撃コードをネットに公開し、Illustratorの脆弱性をついて、ユーザーのコンピュータ上でソフトウェアを勝手に実行できることを示したことだ。Adobeは同日、同攻撃に関する調査に取りかかったが、「いつごろ修正パッチを配布できるのかまだわからない」と述べていた。
Adobeが公式ブログに記した情報によれば、ハッカーが攻撃を成功させるためには、悪質な意図を持って作成された「Encapsulated PostScript(.eps)」ファイルを、ユーザーにIllustratorから開かせる必要があるという。
攻撃コードが公開され、サイバー犯罪者も悪用できるようになったため、今回見つかった脆弱性は深刻な問題を引き起こす可能性も否定できない。
ただし、Adobeの製品セキュリティ・ディレクターを務めるブラッド・アーキン(Brad Arkin)氏は12月1日、「コンピュータにウイルスを仕込むために同攻撃手法が使われた事実は、まだ報告されていない」と語った。
「(同攻撃手法を用いれば)少なくともIllustratorのあるバージョンとプラットフォームをクラッシュさせられることは確認した。詳細情報が集まり次第、ユーザーに勧告を出そうと考えている」(アーキン氏)
デンマークのセキュリティ・コンサルティング会社Secuniaは、「同脆弱性は『Illustrator Creative Suite』のバージョン13と14に存在しているが、さらに同製品のほかのバージョンも影響を受ける可能性がある」と指摘している。
一方Adobeは、Webブラウザ用プラグインである「Flash Player」の深刻な脆弱性についても、12月8日に修正パッチをリリースする見込みだ。こちらはIllustrator問題とは関係がなく、以前から計画されていたものだったと、アーキン氏は説明している。
「われわれが知りえる範囲では、(Illustratorの)脆弱性とFlash Playerの間には一切関連性がない」(アーキン氏)
Flash Playerのアップデートが行われる12月8日には、米国Microsoftも月例セキュリティ・アップデートを実施する予定だ。その中には、すでに公表されている「Internet Explorer」の脆弱性に対する修正パッチも含まれている。
なおAdobeは12月8日のセキュリティ・アップデートに続き、2010年1月12日に「Reader」および「Acrobat」に関する定例セキュリティ・アップデートも予定している。
(Robert McMillan/IDG News Serviceサンフランシスコ支局)
