報道によれば、米Adobe Systemsは6月29日、予告通りにReaderとAcrobatの更新版をリリースし、深刻な脆弱性に対処した。
最新バージョンはAdobe Reader 9.3.3(Windows、Mac、UNIX向け)と8.2.3(Windows、Mac向け)、Acrobat 9.3.3と8.2.3(いずれもWindows、Mac向け)となる。
Adobeのセキュリティ情報によると、「更新版では9.3.2/8.2.2までのバージョンに存在していた脆弱性に対処し、事前に情報が公開され攻撃が出回っていたメモリ破損の脆弱性のほか、コード実行に利用される恐れのある深刻な脆弱性を多数解決している。」とのことだ。
さらに、「PDFの仕様である『/launch』機能がソーシャルエンジニアリング攻撃に利用できてしまう可能性がある。」と指摘されていたことを踏まえ、今回の更新ではこの機能の悪用を防ぐ措置も盛り込んだ。
具体的には、「実行可能ファイルなど有害なオブジェクトの起動を阻止する機能をデフォルトで追加し、警告メッセージの仕組みを変更して既に発生している攻撃をかわせるようにした。」という。
最新版はAdobeのWebサイトからも入手できるが、Adobeは4月からReaderとAcrobatを自動更新できるオプションも導入している。
これによりユーザーの更新適用に弾みが付き、前回の更新はそれまでの約3倍のペースで適用されたという。
「7月からはAdobe Download Centerでの配布方法も変更し、常に最新パッチを適用した状態のReaderを同ページからダウンロードできるようにする。」という。
尚、今回のセキュリティアップデートは、本来7月13日に予定していた四半期ごとの定例更新を前倒ししてリリースされた。
次回の定例更新は10月12日に予定だ。