Photoshopなどの脆弱性、やっぱり既存バージョン「CS5.x」にもパッチ提供

　米Adobe Systemsは11日、Windows/Macintosh用のPhotoshop、Illustrator、Flash Professionalに脆弱性が見つかっていた件で、既存バージョンである「CS5.x」についても脆弱性を解決する作業を進めていることを明らかにした。

　脆弱性は、Photoshop CS5以前、Illustrator CS5.5以前、Flash Professional 5.5.1（11.5.1.349）以前がそれぞれ影響を受けるもので、8日付でAdobe Systemsが公表。最新バージョンの「CS6」でそれぞれ修正していると説明する一方で、CS6にアップデートしないユーザーに対しては、出所が信頼できないファイルの取り扱いに注意するといったセキュリティ上の一般的な留意事項を示すのみにとどまっていた。

　しかし、CS6は単なるセキュリティ修正や不具合修正のアップデートではなく、多くの新機能を追加した新製品であり、アップグレードは有料となる。脆弱性があることを公表しながら、有料アップグレードでしか修正しないAdobe Systemsのスタンスには非難の声も上がっていた。

　Adobe Systemsは今回、8日付で発表していたセキュリティアドバイザリを11日付で更新し、CS5.xについてもアップデートで対応することを示したかたちだ。準備が整いしだい、あらためてセキュリティ情報を更新する。

　なお、これらの脆弱性じたいは危険度がいずれも、4段階中で最も高い“Critical”というレーティングで、悪用されるとコードの実行つながる可能性のあるものだ。

　一方、アップデートを適用する優先度については、3段階中でも最も低い“Priority 3”とレーティングしている。“Priority 3”とは、歴史的に攻撃者のターゲットではなかった製品の脆弱性を修正するもので、Adobe Systemsでは、アップデートのインストールは管理者が自分の判断で行うよう推奨している。

　確かにPhotoshopなどのクリエイティブ製品は、Adobe ReaderやFlash Playerなどと比べて攻撃にさらされる機会は少なかったかもしれない。また、Adobe Systemsでは結局、CS5.xについても脆弱性の修正を行うことにしたわけだが、当初はなぜ既存バージョンでのアップデートを見送る判断をしたのかなど、ユーザーに対して説明不足だったことは否めない。

【お詫びと訂正 16:00】
　記事初出時、脆弱性の影響を受けるバージョンについて、「Photoshop CS5.5以前」「Flash Professional 5.5（11.5.1.349）以前」と記述しておりましたが、正しくは「Photoshop CS5以前」「Flash Professional 5.5.1（11.5.1.349）以前」です。