Patch Scramble baca Adobe ažuriranja s rasporeda

Srpanj je bio težak mjesec za sigurnosni tim Adobe Systemsa. Čak je tvrd, da će drugo tromjesečno oslobađanje patcha tvrtke stići mjesec dana kasnije, izjavio je u četvrtak Adobeov šef sigurnosti.

U lipnju, Adobe je odbio Microsoft, Oracle i Cisco i rekao da će početi isporuku sigurnosna ažuriranja na redovitom, predvidljivom rasporedu. Iako većina softverskih tvrtki zakrpa zakrpe na ad hoc način, ta predvidljiva ažuriranja olakšavaju poslovnim korisnicima lakše planirati način njihova objavljivanja. U to doba, Adobe je rekao da će 8. rujna pokrenuti svoj sljedeći set zakrpa. Ali to nije bilo. To je zato što je umjesto pripremanja kvartalnih zakrpa, Adobeov tim za sigurnost proveo većinu srpskih šifriranja kako bi popravio dva ključna sigurnosna problema: jedan koji proizlazi iz nedostatka u Microsoftovom ATL (Active Template Library) softveru, a drugi kritični nedostatak u Flashu i Readeru koji se iskorištavao u cyber-napadima.

[Dodatna čitanja: Kako ukloniti zlonamjerni softver s vašeg Windows računala]

"Kada smo u srpnju imali vatrenu bušilicu, kada smo radili na uklanjanju hitne zakrpe ciklus, koji je utjecao na naš ciklus ", rekao je Brad Arkin, direktor za sigurnost proizvoda i privatnost.

ATL pitanje bilo je velika stvar jer je Adobe, kao drugi dobavljači softvera, morao češljati kroz svoj izvorni kod kako bi vidio koji su proizvodi koristili buggy knjižnica komponenta. "Otišli smo od triaging preko 200 proizvoda unutar Adobe kako bismo procijenili koji su proizvodi potencijalno ranjivi na ATL zaglavlje problem, a što prije izvući ažuriranje", rekao je Arkin.

Adobe je izgradio vrijeme u svoj kvartalni raspored za obradu out-of-cycle ažuriranja, ali jednostavno nije bilo dovoljno vremena za rukovanje oba ova glavna pitanja i ažuriranja ovog kvartala. Dakle, umjesto objavljivanja u rujnu, sljedeće kvartalno ažuriranje Adobe bit će izdano 13. listopada, istog dana kao Microsoftov sigurnosni izdanje "Patch Tuesday" za taj mjesec.

Adobe nije jedina tvrtka koja se kreće oko rasporeda zakrpa. U četvrtak je Oracle rekao kako će to biti tjedan dana kasnije s sljedećom Update Critical Patch Update koja se sada očekuje 20. listopada. Oracle je preselio datum tako da njegovo oslobađanje neće biti u sukobu s godišnjom Oracle OpenWorld konferencijom koja se održala od 11. do 15. listopada u San Franciscu.

Arkin se nada da će njegova tvrtka isporučiti sljedeća ažuriranja tri mjeseca nakon listopada, ali Adobe će zaključati taj datum kada isporučuje zakrpe 13. listopada. "Za nas je ovo tekući proces", rekao je. "Radimo s klijentima da im damo što više obavijesti."

Rekao je da je moguće da bi buduća ažuriranja mogla biti odgođena. "Naš je plan svakog tromjesečja [objavljivanje ažuriranja] i ako bismo ikada trebali promijeniti promijenjeni raspored, objavit ćemo te vijesti što je prije moguće".

To je dobra ideja jer korisnici vole sigurnost zakrpe kako bi bile što predvidljive, prema David Marcus, menadžer za istraživanje sigurnosti s McAfee Avert Labs. "Nedosljednost u redovitom zakrpnom ciklusu jednostavno nije korisna poduzećima."