Adobe snaps til opmærksomhed over sikkerhedsproblemer

Adobe Systems, hvis applikationer er blevet hårdt ramt af hackere, kæmper gennem arvskode for fejl i sine produkter og planlægger en regelmæssig kvartalsvis patch-udgivelse, ifølge en øverste sikkerhedsansvarlig.

Flytningen kommer efter, at Adobe har bemærket " væsentlige ændringer i trusselskabet ", siger Brad Arkin, direktør for produktsikkerhed og privatlivets fred hos virksomheden onsdag.

Adobe planlægger at udstede patches hver tredje måned den anden tirsdag i måneden, samme dag som Microsoft udgiver dets pletter, sagde arkin Udgivelse af patches i takt med Microsoft er lettere for administratorer, der kan teste reparationer fra begge virksomheder samtidig før opdatering af stationære pc-billeder.

[Yderligere læsning: Sådan fjernes malware fra din Windows-pc]

Adobe's Reader og Acrobat-software bruges til at oprette og læse PDF-filer (Portable Document Format) -filer, som er det udbredte format til at gemme websider, skabe formularer og til andre anvendelser.

Programmerne bruger også JavaScript, et programmeringssprog, som hvis ikke implementeret korrekt kan tillade hackere at oprette PDF-filer, der f.eks. udløser et problem med hukommelseskorruption, der kan muliggøre fuldstændig kontrol af en computer og alle dens data.

Adobe har haft en livscyklus for udviklingsudvikling - et sæt protokoller til beskæftiger sig med problemer - i mindst fire år. Men da Adobe har udviklet Reader og Acrobat, undersøgte virksomheden ikke den gamle arvskode for sikkerhedsproblemer, sagde Arkin. Det gør det nu.

Siden februar har Adobe hærdet sin kode i sine applikationer, sagde Arkin. Det har medtaget at gøre automatiserede såvel som human code anmeldelser. Adobe bruger "fuzzers" eller værktøjer, der forsøger at indsprøjte kode i en applikation for at se om den accepterer data, det burde ikke.

Adobes ingeniører praktiserer også "trusselmodellering", hvor ingeniører forsøger at finde ud af områder hvor hackere kan potentielt forårsage skade og finde fejl i kildekoden, siger Arkin.

Adobe vil fremskynde den tid, det tager at oprette en patch, når en sårbarhed afsløres, sagde Arkin. Det tog Adobe to uger at komme med en patch til JBIG2 sårbarheden afsløret omkring slutningen af ​​april. Det var ikke så hurtigt som vi ville have set det, sagde han.

Arkin sagde, at Adobe planlægger at få sin første kvartalsopdateringsfrigivelse inden for de næste tre til fire måneder, selvom den nøjagtige dato ikke har ' er blevet sat.

De intensive sikkerhedsplaner vil være næsten permanente. "Vi tror ikke, vi kommer til at ramme et punkt, hvor den er færdig," sagde Arkin. "Intet produkt vil være helt fri for sårbarheder."