Adobe Reader/Acrobatの定例セキュリティアップデート公開


 米Adobe Systemsは10日、Adobe Reader/Acrobatの定例セキュリティアップデートを公開した。

 バージョンはAdobe Reader X 10.1.3およびAcrobat X 10.1.3で、それぞれWindows版・Mac版がある。このほかAdobe Reader Xに移行できない環境向けに、Windows版・Mac版のAdobe Reader 9.5.1を提供するほか、同じくWindows版・Mac版のAcrobat 9.5以前のユーザー向けに、Acrobat 9.5.1を提供する。このほか、Linux版のAdobe Reader 9.5.1も公開した。

 今回のアップデートで修正する脆弱性は、攻撃者によってシステムが制御されてしまう可能性があるもので、緊急度のレーティングは4段階中で最も高い“クリティカル”。具体的には、TrueType Font(TTF)制御における整数オーバーフロー(CVE-2012-0774)、JavaScript制御におけるメモリ破損(CVE-2012-0775)、Adobe Reader経由のセキュリティバイパス(CVE-2012-0776)、JavaScript APIにおけるメモリ破損(CVE-2012-0777、Mac/Linuxのみ)を解消するとしている。

 このほか、Adobe Reader X 10.1.3とAdobe Acrobat X 10.1.3には、Flash Playerのセキュリティアップデートも含まれる。

 なお、今回より、アップデートの優先度についてのレーティングも付けられている。Windows版のAdobe Reader/Acrobat 9.5.1が、3段階で最も優先度が高い“1”とレーティングされており、その他のバージョンは1段階低い“2”となっている。優先度“1”では、できるだけすぐに適用(例えば72時間以内)するよう推奨されている。

 また、Windows版・Mac版のAdobe Reader/Acrobat 9.5.1においては、Authplayコンポーネント(authplay.dll)に関する変更が加えられた。ドキュメント中にFlash(SWF)コンテンツが含まれる際に使用するFlash Playerについて、Adobe Reader/Acrobatに同梱されるAuthplayコンポーネントではなく、システムに別途インストールされているNetscape Plugin Application Programming Interface(NPAPI)版のFlash Playerプラグイン(FirefoxやOpera、Safariなどのブラウザーが使用している)を使用する方式とした。これにより、Flash Playerのセキュリティアップデートが出る度にAdobe Reader/Acrobatをアップデートする必要がなくなるとしている。

 このほか、Windows版・Mac版のAdobe Reader/Acrobat 9.5.1では、3Dコンテンツのレンダリングをデフォルトでは無効に変更した。大部分のユーザーにおいて3Dコンテンツを含むPDFファイルを開くことは一般的ではないことや、信頼できないドキュメント上の3Dコンテンツが攻撃に悪用されることを考慮した。有害である可能性のあるドキュメントが3Dコンテンツをレンダリングしようとする際は、黄色のメッセージバーを提示するという。


関連情報


(永沢 茂)

2012/4/11 13:50