NEWS（12/07/23　15:26）

　米Adobe Systems Incorporatedは20日（現地時間）、公式ブログ“Adobe Reader Blog”で“Three Common Adobe Reader and Acrobat Security Questions（「Adobe Reader」と「Adobe Acrobat」のセキュリティについてよく寄せられる3つの質問）”と題する記事を公開した。

　1つ目の質問は、両製品のアップデートスケジュールについて。

　同社では、四半期ごとに定例アップデートを提供するモデルを3年前から採用している。しかし近年、「Adobe Reader X」「Adobe Acrobat X」で“保護モード”などのセキュリティ機能が搭載されたことにより、従来のように定例アップデートのサイクルを厳格に守る意義が低下しているという。

　そのため、同社では毎月第2火曜日（日本の場合は翌日）に定例アップデートを配布するモデルに切り替える。アップデートが行われる場合は、3営業日前に内容が事前公開される。この方法はMicrosoftでも採用されているため、ユーザーにとっても馴染み深い方法と言えるだろう。もちろん、ゼロデイ攻撃などの緊急性の高い場合には、“定例外”のアップデートで柔軟に対応するとしている。

　2つ目の質問は、両製品におけるFlashコンテンツの取り扱いについて。

　v9.5.1以降、「Adobe Reader」および「Acrobat」では、Flashコンテンツを“Known（Adobe製の安全なコンテンツ）”“Unknown（それ以外のコンテンツ）”という2つカテゴリーに分類しており、前者を製品に同梱された内部コンポーネントで、後者をNPAPIに対応したシステムにインストール済みの「Adobe Flash Player」プラグインで処理しているという。NPAPI（Netscape Plugin Application Programming Interface）とは、クロスプラットフォームなプラグインを実現するための共通仕様（API）。

　これにより、仮にFlashコンテンツの処理に脆弱性があったとしても、v9.5.1以降の「Adobe Reader」「Acrobat」では必ずしも製品をアップデートする必要がなく、システム側の「Adobe Flash Player」プラグインを更新するだけで済む。

　逆に言えば、この恩恵を受けるためには「Adobe Reader」「Acrobat」をv9.5.1以降にアップデートすること、NPAPI対応の「Adobe Flash Player」プラグインを利用することが条件となる。NPAPI対応の「Adobe Flash Player」プラグインを利用していない場合、最近のバージョンの「Adobe Reader」「Acrobat」では警告を表示する（関連記事を参照のこと）。

　3つ目の質問は、新しいセキュリティレーティングについて。

　最近のAdobe製品のセキュリティアップデートには、脆弱性そのものの“緊急度（深刻度）”評価（“Critical”など）に加え、更新プログラムの適用“優先度”が提供されている。これは、対象の製品が“保護モード”を備えているか否か、すでに攻撃方法が知られているまたは行われているか否かなど、同一の“緊急度”であってもシナリオによっては脆弱性対応のプライオリティが異なる場合があるためだとしている。

　なお、“優先度”については日本語の公式ドキュメントも提供されているので参照してほしい。