NEWS(12/04/11 15:18)

Adobe Reader/Acrobatの定例アップデートが公開、“Critical”な脆弱性4件を修正

Windows版「Adobe Reader 9」「Adobe Acrobat 9」は早急な更新が必要

「Adobe Reader X」v10.1.3「Adobe Reader X」v10.1.3

 米Adobe Systems Incorporatedは10日(現地時間)、無償のPDFリーダー“Adobe Reader”シリーズの定例アップデートを公開した。現在、同社のWebサイトから最新版となる「Adobe Reader X」v10.1.3および「Adobe Reader」v9.5.1をダウンロードできる。また、PDF作成・編集ソフト「Adobe Acrobat X」「Adobe Acrobat 9」についても、同様のアップデートが提供されている。

 今回の定例アップデートでは、旧バージョンの「Adobe Flash Player」で発見・修正された脆弱性(APSB12-03、APSB12-05、APSB12-07)に加え、TrueTypeフォントにおける整数オーバーフローの脆弱性(CVE-2012-0774)、JavaScriptの処理におけるメモリ破壊の脆弱性(CVE-2012-0775)、インストーラーにおけるセキュリティバイパスの脆弱性(CVE-2012-0776)に対する修正が施された。また、Mac OS X/Linux環境にのみ影響するJavaScript APIにおけるメモリ破壊の脆弱性(CVE-2012-0777)の修正も含まれている。

 これらの脆弱性は、いずれもアプリケーションの不正終了と任意コードの実行を許す恐れがあり、深刻度が同社基準で4段階中最高の“Critical”に分類されている。また、更新プログラムを適用する優先度は、Windows版の「Adobe Reader 9」「Adobe Acrobat 9」が3段階中の最高の“1”、そのほかが3段階中の2番目の“2”と分類されている。

 この優先度“1”は、すでに攻撃が確認されており可能な限り迅速な(72時間程度以内)更新プログラムの適用が必要であることを意味する。「Adobe Reader 9」を利用中のユーザーは必ずv9.5.1へのアップデートを行うか、保護モードを搭載する「Adobe Reader X」へのアップデートを検討してほしい。

 そのほか、「Adobe Reader 9」「Adobe Acrobat 9」でFlashコンテンツを再生する際のアーキテクチャへ改善が施されている。

 「Adobe Reader」「Adobe Acrobat」v9.5.1では、同梱の「Adobe Flash Player」プラグインではなく、NPAPIを介してシステムにインストールされている最新の「Adobe Flash Player」プラグインを利用するように変更された。頻繁に更新される「Adobe Flash Player」と、「Adobe Reader」「Adobe Acrobat」のアップデートを分離することができるため、システム管理者の負荷軽減が期待できる。なお、NPAPI対応の「Adobe Flash Player」プラグインがインストールされていない場合は、アップデートを促すダイアログが表示されるという。

 同社によると、「Adobe Reader X」「Adobe Acrobat X」にもこの仕組を導入予定であるとのこと。また、「Adobe Reader」「Adobe Acrobat」v9.5.1では3Dコンテンツのレンダリング設定が変更されており、信頼できないドキュメントの場合、標準でレンダリングを無効化された。レンダリングを有効化することも可能だが、その場合は黄色い警告バーが表示される。

「Adobe Reader X」

【著作権者】
Adobe Systems Incorporated
【対応OS】
Windows 2000/XP/Server 2003/Vista/Server 2008/7/XP x64/Vista x64/7 x64
【ソフト種別】
フリーソフト
【バージョン】
10.1.3(12/04/10)

(柳 英俊)