Adobeは数日前、同社のDownload Managerの脆弱性を修正するアップデートをリリースした。Adobe ReaderまたはFlash PlayerのようなソフトウェアをAdobeのウェブサイトからダウンロードする場合、ダウンロードのプロセスを効率よくするDownload Managerというアプリケーションも同時にインストールされる。

Adobeからの複数のセキュリティアドバイザリーによると、Download Managerで重要なコード実行での脆弱性が発見された。Adobeは具体的な脆弱性の技術的な詳細を発表していないが、脆弱性を発見した研究者の一人であるAviv Raffは彼のブログで詳細を発表している。Raff氏は脆弱性の詳細の一部は発表していないが、同氏によると、攻撃者はこの脆弱性を活用して、対象PCにいかなるファイルでもダウンロードして実行できるとしている。まず対象者に悪意あるサイトへのリンクをクリックさせるか、そのようなサイトへの訪問が必要と思われるが、Raff氏とAdobeはどのように攻撃されるかは発表していない。

Adobeは、この脆弱性をDownload Manager 1.6.2.63で修正したと発表している。Download Managerは一回利用のみのアプリケーションであり、AdobeのソフトウェアをDownload Managerでダウンロードした後、PCを再起動した際にプログラムを自分で削除すると言っている。Adobeのソフトウェアをインストール後、もしPCを再起動したのであれば、Download Managerはシステムに残っているべきではない。しかし、Adobeのセキュリティ情報の「Solution」部分では、Download ManagerがPCに残っているか、どのようにチェックができるかを説明している。もしシステムの残っているのであれば、削除するべきである。新しいAdobeソフトウェアをインストールする以外にDownload Managerが必要でないため、新しいバージョンをダウンロードする必要はない。また、次回、Adobeのサイトでソフトウェアの最新バージョンをダウンロードする際、Download Managerの新バージョンが自動的にインストールされる。

また、Adobeの脆弱性に関して、数週間前に、AdobeはReader、Acrobat、Flash Playerでの重要な脆弱性を修正するためのパッチをリリースした。このパッチをまだダウンロードしてインストールしていない場合（Adobeの自動アップデートシステムで既に対応済みの可能性がある）、すぐに行うことを勧める。WatchGuardの2010年セキュリティ動向予想で、このようなサードパーティ・アプリケーションが大きなリスクとなると書いた。従って、このようなパッチはすぐに適用することを勧める。

Corey Nachreiner, CISSP

【原文】
Adobe Download Manager vulnerability could affect any Adobe software users
http://www.watchguard.com/RSS/showarticle.aspx?pack=RSS.Adobe.DM0210