PDFファイル閲覧ソフト「Adobe Reader」に危険な脆弱性

インターネット上での配布に適したリッチデザインな文書形式「PDF」は、今やHTMLに次いでインターネット上で多用されている文書形式と言えますが、このPDFファイルを閲覧するために必須のアプリケーション「Adobe Reader」について、危険な脆弱性が報告されています。

IT Pro: Adobe Reader/Acrobatに危険なセキュリティ・ホール,アップデートの適用を
Secunia(英語): Adobe Reader / Adobe Acrobat Multiple Vulnerabilities

Windows版Readerの脆弱性としては、
  • eBookプラグインが「.etdファイル」を解釈する方法に脆弱性が存在するため、ユーザが悪意あるeBookファイルを開こうとしたときに任意のコードを実行される恐れがある
  • 細工をされたFlashを入れ込んだPDFファイルを閲覧することで、ユーザのPC内にある情報を読み取られる恐れがある
という、2つの脆弱性が報告されています。
脆弱性が存在するバージョンは、6.0.0~6.0.2です。

Webページ上でPDFファイルへのリンクを張ることは、今ではごく当たり前に行われています。PDFファイルをダウンロードすることに抵抗がある人は少ないでしょう。
この脆弱性は、PDFをメールの添付ファイルにしたりまたHTMLメールのリンク先に指定したり、またスパムやフィッシングのテクニックと組み合わせることで、容易に悪用可能となることが推測されます。


「更新」機能ではアップデートできない、手動でパッチをダウンロード

この脆弱性に対処するためには、Adobe社が提供するパッチをインストールして、バージョンを最新の「6.0.3」にする必要があります。

ただ注意していただきたいのは、Adobe ReaderにはWindows Updateのように簡単にバージョンアップができる「更新」機能が備わっていますが、この機能を利用しても「6.0.3」にすることはできない、ということです。
バージョン6.0.3にするためには、更新機能を使ってバージョン6.0.1または6.0.2にした後、別にパッチをダウンロードしてインストールする必要があります。

まず、更新機能で可能な限り新しいバージョンにします。

update1
メニューの【ヘルプ】-【更新】を選択

update2
「Reader 6.0.x Update」を選択して【追加】ボタンをクリックする。必要であれば他のものもアップデートする


この上で、以下のサイトからバージョン6.0.3のパッチをダウンロードし、ファイルをダブルクリックしてインストールします。
ダウンロードサイトは英語ですが、ちゃんと日本語に対応したパッチが提供されていますので安心してダウンロードしてください。

Adobe(英語): Adobe Reader 6.0.3 update - English, Japanese - Adobe Reader for Windows - Thank you!

これで、バージョンが6.0.3になります。
念のため、Adobe Readerを起動してバージョンを確認してください。

version
メニューから【ヘルプ】-【Adobe Reader 6.0について】を選択すると、バージョンを確認することができる


「更新」機能で取得できるバージョンが最新でないというのは、正直申し上げて、Windows Updateや他のソフトの自動更新機能に比べて、ちょっとお粗末な感は否めません。
次回以降のリリースでは、「更新」で最新パッチが適用できるよう、Adobe社に望みたいと思います。