Tweet

サンドボックス化したAdobe Reader Xへのアップグレードを推奨

「ポップアップを無視しないで」、アドビが自動アップデート機能強化へ

2011/02/02

　Adobe Readerを使ってPDF文書を開こうとしたら、「利用可能なアップデートがあります」というポップアップが出てきた。この表示をうっとおしいと感じ、消したいと思ったことはないだろうか？ いちいち表示されるのは面倒だからと、自動アップデートをオフにしていないだろうか？

　「ぜひ、この表示を面倒なものと思わず、アップデートしてほしい。われわれもアップデートの障害を取り除くべく、技術面でもユーザーインターフェイスの面でも改善を続けていく」――米アドビシステムズのプロダクトセキュリティおよびプライバシー担当シニアディレクター、ブラッド・アーキン氏は、1月に行われたプレスミーティングでこのように語り、セキュリティを強化した最新版の利用を呼び掛けた。

米アドビシステムズ プロダクトセキュリティおよびプライバシー担当シニアディレクター ブラッド・アーキン氏

　アドビシステムズは2010年11月に、セキュリティを強化し、保護モードを搭載した「Adobe Reader X」をリリースした。従来Adobe Readerのプロセスに与えられていた権限を制限し、ファイル書き込み動作を不可能にする、いわゆるサンドボックス化を施している。たとえ脆弱性を悪用する悪意あるPDFファイルを開いてしまっても、ハードディスクへの書き込みは行えないため、それ以上のマルウェアの侵入を阻止する仕組みだ。この成果か、いまのところAdobe Reader Xでは脆弱性の報告や悪用の報告は受け取っていない、という。

　しかしこれも、ユーザーによるアップデート適用やバージョンアップがなされなければ意味がない。そこでアドビでは、2011年後半にReaderの自動更新機能を強化する予定だ。Reader 7／8／9のユーザーにバージョンアップを促す仕組みを取り入れるほか、セキュリティアップデートのインストールまでを自動化する設定を推奨し、「2011年中にほぼすべてのユーザーにAdobe Reader Xが行き渡ることを期待したい」（アーキン氏）という。

　アドビがこうした取り組みを進める背景には、近年、同社製品の脆弱性がマルウェアのターゲットになっていることが挙げられる。最も顕著な例が、2010年前半に被害を広めたGumblarで、Adobe Reader／Acrobatのゼロデイ脆弱性を悪用して感染を広めた。

　こうした教訓もあって、アドビでは今後も、セキュリティおよびプライバシー保護のための取り組みを進めていくという。Androidなど新しいプラットフォームについても、「Adobe Reader Mobileはサンドボックス化されている。これからもプラットフォームが備えるセキュリティ機能はすべて活用していく」（アーキン氏）。

ベンダと協調してFlash Playerのセキュリティも強化

　Flash PlayerについてもReader同様に、サンドボックス化を進める方針だ。これに関してはアドビ単独ではなく、ブラウザベンダと協力して実装を進めていく。一例として、現在ベータテストが進んでいるGoogle Chrome 10は、サンドボックス化したFlash Playerを搭載する予定で、ほかにもMozillaなどいくつかのプレイヤーと話し合いを進めている。

　ここでは、ローカルに蓄積されたデータを削除する「NPAPI ClearSiteData」というAPIを実装する。ユーザーがデータの削除を選ぶと、ブラウザが保存しているCookieなどのデータに加え、Flash Player側に蓄積されたデータも削除する仕組みを実現していく。

　同時に、各種設定を容易に行い、ユーザーが意図した通りにプライバシーを保護できるよう、2010年上半期中にFlash Playerの設定マネージャを根本的に変更する。いまは右クリックメニューから選択、設定する仕組みだが、ユーザーにとっては見つけにくかった。これを「できる限りシンプルなものにし、ユーザーの意図を直感的に、クリアに反映できるようなものにしたい」（同氏）という。