米Adobe、今後のAdobe Reader/Acrobatのセキュリティ方針について説明

　米Adobe Systemsは20日、Adobe ReaderおよびAcrobatにおけるセキュリティ対策に関する今後の方針を、公式ブログでQ&Aの形で説明した。

　Adobe Reader/Acrobatのセキュリティアップデートについては、これまでは四半期ごとに定例セキュリティアップデートを提供してきたが、最新版のAdobe Reader Xに導入した保護モードなどの技術が効果を挙げていることなどから、四半期ごとにセキュリティアップデートを提供する意義は薄れていると説明。そのため、今後はマイクロソフトの月例セキュリティアップデートが公開される第2火曜日（日本時間ではその翌日）に、必要に応じてセキュリティアップデートを提供していくとしている。

　セキュリティアップデートを提供する場合には、3営業日前に内容を事前公開する。また、ゼロデイ攻撃が発生した場合など、緊急の対応が必要な場合には定例外のアップデートを含む対応を行なっていくとしている。

　Adobe Reader/AcrobatのFlashコンテンツの扱いについては、Adobe Reader/Acrobatのバージョン9.5.1以降では、Adobe製品に含まれる安全が確認されているFlashコンテンツは内部で処理するが、それ以外のFlashコンテンツはすべて外部のFlash Playerプラグインで処理するようになっていると説明。以前であれば、Flashに脆弱性が発見されるとAdobe Reader/Acrobatもセキュリティアップデートが必要だったが、現在ではFlash Playerプラグインをアップデートすれば済むようになっているという。

　また、セキュリティ情報を公開する際に、従来の「緊急度」に加えて4月からは「優先度」という新たな基準を追加したことを紹介。脆弱性自体の危険度とは別に、対象となる製品が保護モードを備えているかどうかや、攻撃が既に発生しているかどうかなど、セキュリティアップデート適用の優先順位を表す基準として「優先度」を示しているとしている。