Patch kritiske sikkerhedsfejl i Adobe Reader og Acrobat

Som tidligere meddelt har Adobe udgivet en out-of-band-opdatering til Reader og Acrobat, der omhandler sårbarheder, der blev afsløret på Black Hats sikkerhedskonference sidste måned. Opdateringen er klassificeret som kritisk og bør anvendes straks til berørte systemer.

Ifølge et indlæg i bloggen Adobe Product Security Incident Response Team (PSIRT), "opdateringerne løser kritiske sikkerhedsproblemer i produkterne, herunder CVE-2010 -2862 diskuteret på den nylige Black Hat USA 2010-sikkerhedskonference og sårbarheder, der blev behandlet i Adobe Flash Player-opdateringen den 10. august, som angivet i sikkerhedsbulletin APSB10-16. Adobe anbefaler, at brugerne anvender opdateringerne til deres produktinstallationer. "

Adobe også understregede, at det ikke er bekendt med nogen udnyttelse i det vilde for de problemer, der er behandlet i denne sikkerhedsbulletin, og at denne udgivelse ikke påvirker datoen for den næste planlagte kvartalsopdatering - som forbliver 12. oktober 2010.

[Yderligere læsning: Sådan fjernes malware fra din Windows-pc]

Jeg har tilsyneladende mistet omfanget af den kvartalsvise opdateringscyklus tidligere. En Adobe-talsmand kontaktede mig for at afklare Adobes proces og forklarede: "Den kvartalsvise opdateringscyklus er specifik for Adobe Reader og Acrobat. Andre Adobe-produktgrupper arbejder sammen med Adobes Secure Software Engineering Team (ASSET) for at levere opdateringer efter behov - cykler kan være forskellige fra patchcyklusen til Adobe Reader og Acrobat. "

Andrew Storms, direktør for sikkerhedsoperationer for nCircle, kommenterede Adobe-bulletinen. "Adobe har definitivt forbedret deres frigivelsesmekanisme, denne gang sendte de en meddelelse, der sagde, at de ville levere en out-of-band-patch. Desværre er den præcise dato for udgivelsen siden den første meddelelse blevet ændret, idet virksomhedens sikkerhedshold skraber deres hoveder, "tilføjer" Adobes oprindelige manglende evne til at levere en nøjagtig frigivelsesdato medfører, at mange brugere føler sig utilfredse med deres frigivelsescyklus. "

Storms mener også, at detaljer og vejledning fra Adobe lader lidt tilbage." Adobe still har en lang vej at gå i at levere nyttige detaljer med deres sikkerhedsbulletiner, især sammenlignet med andre leverandører. Som normalt mangler denne nyttige oplysninger og begrænsende oplysninger. "

Som Storms bemærkede, forbedres Adobe dog. Adobe-talsmand kommenterede "givet den relative ubiquity og cross-platform rækkevidde af mange af vores produkter, især vores kunder, har Adobe tiltrukket - og vil sandsynligvis fortsætte med at tiltrække - øget opmærksomhed fra angriberne. Imidlertid anvender Adobe branchens førende sikkerhedsteknologipraksis og -processer til at opbygge vores produkter og reagere på sikkerhedsproblemer, og vores kunders sikkerhed vil altid være en kritisk prioritet for Adobe. "

Implementeringen tidligere i år af et opdateringsværktøj til at automatisere patching til Adobe-produkter kombineret med bestræbelser på at opbygge flere sikkerhedsforanstaltninger som sandboxing i fremtidige produktudgivelser og Adobes bestræbelser på at arbejde direkte med Microsoft og større sikkerhedsleverandører for at forbedre produktsikkerheden og reducere den tid, der kræves for at udvikle kritiske patches, demonstrerer alle Adobes engagement i sikkerhed. > Forhåbentlig vil Adobe i fremtiden give flere detaljer om fejlene og hvordan de kan udnyttes potentielt såvel som afbødninger, der kan forhindre angreb i stedet for at anvende opdateringen. IT-admins har brug for sådanne oplysninger for at muliggøre en ordentlig risikoanalyse og at tilvejebringe alternative måder at beskytte mod udnyttelse i afventning af implementeringen af ​​opdateringen eller i tilfælde, hvor et system ikke kan patches af en eller anden grund.

For øjeblikket anbefaler jeg, at du anvender Adobe Reader, Acrobat og Flash opdateringer til alle sårbare systemer, før malware-udviklerne henter og begynder at udnytte disse sårbarheder.

Følg TechAudit på Twitter.