Zakrpe kritičnih sigurnosnih nedostataka u programu Adobe Reader i Acrobat

Kao što je prethodno objavljeno, Adobe je objavio ažuriranje bez nadzora za Reader i Acrobat koji rješava ranjivosti otkrivene na Black Hat sigurnosnoj konferenciji prošlog mjeseca.

Prema postu na blogu Adobe Product Security Incident Response Team (PSIRT), "Ažuriranja rješavaju ključna sigurnosna pitanja u proizvodima, uključujući CVE-2010 -2862 raspravljalo se na nedavnoj konferenciji o sigurnosti u Black Hat USA 2010 i ranjivosti koje su se obratile u ažuriranju Adobe Flash Playera 10. kolovoza, kao što je navedeno u sigurnosnom biltenu APSB10-16. Adobe preporučuje korisnicima da primijene ažuriranja za svoje instalacije proizvoda. "

Adobe također istaknuo je da nije svjestan bilo kakvih eksploatacija u divljini za bilo koje od pitanja navedenih u ovom biltenu o sigurnosti i da ovo objavljivanje ne utječe na datum sljedećeg zakazanog kvartalnog ažuriranja - koji ostaje 12. listopada 2010.

[Daljnje čitanje: Kako ukloniti zlonamjerni softver s računala sa sustavom Windows]

Očigledno, u prošlosti sam pogrešno istaknuo opseg kvartalnog ciklusa ažuriranja. Glasnogovornik Adobe me kontaktirao kako bismo pojasnili postupak tvrtke Adobe, objašnjavajući kako je "četverogodišnji ciklus ažuriranja specifičan za Adobe Reader i Acrobat. Drugi timovi proizvoda tvrtke Adobe surađuju s Adobeovim timom za sigurnu softversku inženjering (ASSET) kako bi isporučili ažuriranja po potrebi - ciklusi se mogu razlikovati od ciklus zakrpi za Adobe Reader i Acrobat. "

Andrew Storms, direktor sigurnosnih operacija za nCircle, komentirao je Adobe bilten. "Adobe je definitivno unaprijedio njihov mehanizam za oslobađanje, a ovaj put su poslali komunikaciju u kojoj je navedeno da će isporučiti flaster izvan benda. Nažalost, od prve najave, točan datum izdavanja je promijenjen, ostavljajući timove poslovnih sigurnosnih grebena glave ", dodajući kako" početna nesposobnost Adobe-a da daje točan datum objavljivanja ostavlja puno korisnika da se osjećaju neugodno o njihovom ciklusu inženjerskog oslobađanja. "

Oluje također smatra da detalji i smjernice tvrtke Adobe malo žele" Adobe još uvijek ima dosta vremena za pružanje korisnih detalja sa sigurnosnim biltenima, osobito u usporedbi s drugim dobavljačima. Kao i obično, ovo nema korisne pojedinosti i informacije o ublažavanju. "

Međutim, kako je Storms napomenuo, ipak se Adobe poboljšava. Glasnogovornik tvrtke Adobe komentirao je "s obzirom na relativnu sveprisutnost i pristup među platformama mnogih naših proizvoda, posebice naših klijenata, Adobe je privukao - i vjerojatno će i dalje privući - povećanu pozornost napadača, no Adobe zapošljava vodeće tvrtke prakse inženjeringa sigurnosnog softvera i procesa u izgradnji naših proizvoda i reagiranja na sigurnosna pitanja, a sigurnost naših klijenata uvijek će biti ključni prioritet za Adobe. "

Implementacija ranije ove godine uslužnog programa za ažuriranje za automatiziranje zakrpavanja za Adobe proizvode, u kombinaciji s naporima za izgradnju više sigurnosnih mjera kao što je sandboxing u buduće izdanje proizvoda, a napori tvrtke Adobe koji rade izravno s Microsoftom i glavnim proizvođačima sigurnosti za poboljšanje sigurnosti proizvoda i smanjenje vremena potrebnih za razvoj kritičnih zakrpa pokazuju predanost Adobe sigurnosti. > Nadamo se da će u budućnosti Adobe dati više detalja o specifičnostima nedostataka i kako oni mogu p kao i ublažavanja koja mogu spriječiti napad umjesto primjene ažuriranja. IT administratori trebaju takve informacije kako bi omogućili pravilnu analizu rizika i osigurali alternativna sredstva za zaštitu od iskorištavanja u tijeku implementacije ažuriranja ili u slučajevima kada se sustav ne može izbrisati iz nekog razloga.

Za sada, preporučujem da se prijavite ažuriranja Adobe Readera, Acrobata i Flasha svim ranjivim sustavima prije no što se programeri zlonamjernog softvera pojave i počnu iskoristiti te ranjivosti.

Slijedite TechAudit na Twitteru.