Błędy krytycznych luk w oprogramowaniu Adobe Reader i Acrobat

Zgodnie z wcześniejszymi zapowiedziami firma Adobe wydała pozapasmową aktualizację dla programów Reader i Acrobat, która usuwa luki ujawnione podczas konferencji zabezpieczeń Black Hat w zeszłym miesiącu. Aktualizacja została zakwalifikowana jako krytyczna i powinna zostać natychmiast zastosowana do systemów podlegających usterce.

Zgodnie ze stanowiskiem na blogu zespołu ds. Reagowania na zdarzenia związane z bezpieczeństwem produktów Adobe (PSIRT), "aktualizacje dotyczą krytycznych problemów bezpieczeństwa w produktach, w tym CVE-2010 -2862 przedyskutowano na niedawnej konferencji bezpieczeństwa Black Hat USA 2010 i lukach w zabezpieczeniach, które zostały uwzględnione w aktualizacji Adobe Flash Player 10 sierpnia, zgodnie z uwagami zawartymi w biuletynie APSB10-16. "Adobe zaleca, aby użytkownicy stosowali aktualizacje do swoich instalacji produktu."

Adobe również Podkreślił, że nie ma informacji o żadnych exploitach w środowisku naturalnym dla żadnego z problemów poruszonych w niniejszym biuletynie zabezpieczeń, oraz że to wydanie nie ma wpływu na datę następnej planowej aktualizacji kwartalnej - która przypada na dzień 12 października 2010 r.

[Więcej informacji: Jak usunąć złośliwe oprogramowanie z komputera z Windows]

Najwyraźniej jednak błędnie oceniłem zakres kwartalnego cyklu aktualizacji w przeszłości. Rzecznik Adobe skontaktował się ze mną w celu wyjaśnienia procesu Adobe, wyjaśniając, że "kwartalny cykl aktualizacji dotyczy programów Adobe Reader i Acrobat." Inne zespoły Adobe współpracują z zespołem ds. Bezpiecznego oprogramowania firmy Adobe (ASSET) w celu dostarczania aktualizacji - cykle mogą się różnić od cykl łat dla programów Adobe Reader i Acrobat. "

Andrew Storms, dyrektor ds. operacji bezpieczeństwa firmy nCircle, skomentował biuletyn Adobe. "Adobe zdecydowanie ulepszyło mechanizm ich wydawania, tym razem wysłali komunikat, że dostarczą łatę poza pasmem. Niestety, od pierwszego powiadomienia zmieniła się dokładna data wydania, pozostawiając zespoły bezpieczeństwa korporacyjnego drapiące głowy, "dodawanie" początkowej niezdolności Adobe do podania dokładnej daty wydania pozostawia wielu użytkowników, którzy czują się niepewnie w związku z ich cyklem wydawniczym. "

Storms uważa również, że szczegóły i wskazówki od Adobe pozostawiają niewiele do życzenia" Adobe nadal ma wiele do zaoferowania, dostarczając użytecznych informacji w swoich biuletynach zabezpieczeń, zwłaszcza w porównaniu z innymi dostawcami, jak zwykle brakuje tutaj przydatnych informacji i informacji o łagodzeniu. "

Jak zauważyła Storms, Adobe poprawia. Rzecznik Adobe skomentował, że "biorąc pod uwagę względną wszechobecność i zasięg wielu platform naszych produktów, w szczególności naszych klientów, Adobe przyciąga - i prawdopodobnie nadal będzie przyciągać - rosnącą uwagę atakujących, jednak Adobe stosuje wiodącą w branży praktyki inżynierii oprogramowania zabezpieczającego i procesy tworzenia naszych produktów i reagowania na problemy bezpieczeństwa, a bezpieczeństwo naszych klientów będzie zawsze priorytetem dla Adobe. "

Implementacja na początku tego roku narzędzia aktualizującego do automatyzacji łatania produktów Adobe w połączeniu z wysiłkami zmierzającymi do zbudowania większej liczby środków bezpieczeństwa, takich jak sandboxing do przyszłych wydań produktów, a wysiłki Adobe współpracujące bezpośrednio z Microsoft i głównymi dostawcami zabezpieczeń w celu poprawy bezpieczeństwa produktów i skrócenia czasu potrzebnego na opracowanie krytycznych poprawek, wszystkie pokazują zaangażowanie Adobe w bezpieczeństwo.

Mam nadzieję, że w przyszłości Adobe dostarczy więcej szczegółów na temat specyfiki wad i ich możliwości być potencjalnie wykorzystany, a także ograniczenia, które mogą zapobiec atakom zamiast stosowania aktualizacji. Administratorzy IT potrzebują takich informacji, aby umożliwić właściwą analizę ryzyka i zapewnić alternatywne środki ochrony przed exploitem w oczekiwaniu na wdrożenie aktualizacji lub w przypadkach, gdy system nie może być załatany z jakiegoś powodu.

Na razie zalecam złożenie wniosku aktualizacje Adobe Reader, Acrobat i Flash do wszystkich podatnych systemów, zanim deweloperzy złośliwego oprogramowania nadrobią zaległości i zaczną wykorzystywać te luki.

Śledź TechAudit na Twitterze.