Adobe Reader 未解決の脆弱性
同社のセキュリティ情報によると、脆弱性はU3Dメモリ破損に起因するもので、危険度は同社の4段階評価で最も高い「critical」。悪用された場合、攻撃者にシステムを制御される恐れがあるとされ、実際にWindows版のReader 9.xを狙った限定的な標的型攻撃が発生しているという。
Adobe ReaderとAcrobatに未解決の脆弱性、Windows版を狙う攻撃に悪用 (ITmedia ニュース)
Reader X が 10.1.1 まで、Reader 9.x が 9.4.6 までのバージョン(Acrobatも同様)。修正パッチは作成中、Windows版は12月12日の週に提供予定(定例が12/13予定なのでそれに合わせてでるかな 定例は 1/10 が正しいっぽい。12/12に提供されるのは 9.x 系のみ)。
■追記
- Security Advisory for Adobe Reader and Acrobat (Adobe APSA11-04)
- APSA11-04: Adobe Reader および Acrobat に関するセキュリティ情報 (Adobe APSA11-04 日本語抄訳版)
現在弊社ではこの問題を修正する最終段階にあり、2011 年 12 月 12 日(米国時間)の週までには、Windows 版 Adobe Reader 9.x および Acrobat 9.x 向けのアップデーターを公開する予定です。この脆弱性を悪用した攻撃は、Adobe Reader X の保護モードおよび Acrobat X の保護されたビューにより防止することができるため、Windows 版 Adobe Reader X および Acrobat X については、2012 年 1 月 10 日(米国時間)に予定されている次期クォータリーセキュリティアップデートにおいてこの問題を修正する予定です。
APSA11-04: Adobe Reader および Acrobat に関するセキュリティ情報 (Adobe APSA11-04 日本語抄訳版)
12/12の週に Windows 版 9.x 系のみが提供予定。その他の Macintosh 版と Unix 版、および Windows 版 10.x 系は、2012/01/10 に予定されてる次期クォータリーセキュリティアップデート(定例アップデート?)で提供される。Windows 版 10.x 系は、保護モードで攻撃を防止できる。
なので、Windows 版 Adobe Reader 9.x は、理由がなければ Adobe Reader X 10.x (最新は 10.1.1)にして、保護モードを有効にする(デフォルトで有効になっているはず)。のがいいかな。
