［米国］
アドビ、WindowsのURI問題と関連するAcrobatの脆弱性を修復

「アプリ・ベンダー側でも対応を検討すべき」とマイクロソフト

（2007年10月23日）

　米国アドビシステムズは10月22日、「Adobe Reader」および「Adobe Acrobat」の脆弱性を修復するパッチを公開した。この脆弱性によって、Windows XPユーザーが悪質なPDFファイルを利用した攻撃にさらされるおそれがある。

　今回提供されたパッチは、ReaderとAcrobatに対するアップデートに含まれている。両製品とも、バージョンは8.1.1となる。アドビはパッチ配布に関する詳細情報を発表し、「Adobe ReaderおよびAcrobatに存在していることが確認された深刻な脆弱性を攻撃者が悪用した場合、被害を受けたシステムのコントロールが奪われる可能性がある。攻撃者がこれらの脆弱性を悪用するには、エンドユーザーが悪質なファイルをAdobe ReaderもしくはAcrobatで読み込むようにする必要がある」と警告を発した。

　アドビによれば、こうした攻撃の影響を受けるのは、Windows XPにInternet Explorer 7をインストールしているユーザーにかぎられるという。今回のパッチ・リリースの約2週間前、アドビはバグの存在を認め、ユーザー自身でWindowsレジストリを編集する複雑な回避策を提案していた。

　マイクロソフト自身も認めていることだが、修復を施していないWindows全般にかかわる脆弱性に対し、アプリケーション・ベンダーが自社のソフトウェアにパッチを適用したケースはこれまでも見られており、アドビの事例はその最新のものとなった。マイクロソフトのセキュリティ・チームは10月10日に、Windows XPおよびWindows Server 2003が一部のURIを処理する方法に問題があることを明らかにし、将来的にこれを修復するつもりだと述べていた（関連記事）。

　しかし同社は、その場合でもサードベンダーが責任の一端を負う必要があるとしている。およそ2週間前、マイクロソフト・セキュリティ・レスポンス・センターのプログラム・マネージャーを務めるジョナサン・ネス氏は、「当社によるアップデートは、悪質なURIからすべてのアプリケーションを保護する有効策となるはずだが、アプリケーション・ベンダー側も、悪質なURIが『ShellExecute（）』へ転送されることのないよう、厳格に検証すべきである」と話していた。

　この件に関してソフトウェアをアップデートしたベンダーにはモジラやスカイプなどがある。両社とも今年7月に、それぞれ「Firefox」と「Skype」にパッチを適用している。今回のPDF脆弱性は、英国の研究者であるペトコ・ペトコフ氏が9月に公にしたものだ。同氏によれば、ユーザーにPDFファイルを開かせるか、PDFファイルが埋め込まれたWebページを閲覧させるだけで、攻撃者はPCに影響を与えられるという。

　Adobe Reader 8.1.1およびAcrobat 8.1.1のアップデートへのリンクは、アドビが22日に発表したセキュリティ情報に掲載されている。

(グレッグ・カイザー／Computerworld オンライン米国版)