Patch Scramble smider Adobe Updates off Schedule

juli var en hård måned for Adobe Systems sikkerheds team. Så hårdt, at selskabets anden gang kvartalsvise patch release vil komme en måned for sent, sagde Adobes sikkerhedschef i torsdag.

I juni tog Adobe en cue fra Microsoft, Oracle og Cisco og sagde, at det ville begynde at levere sikkerhedsopdateringer på en regelmæssig, forudsigelig tidsplan. Selvom de fleste softwarevirksomheder udruller patches ad hoc-basis, gør disse forudsigelige opdateringer det lettere for virksomhedskunder at planlægge, hvordan de ruller dem ud. På det tidspunkt sagde Adobe, at det ville rulle ud sit næste sæt af patches den 8. september. Men det var ikke tilfældet. Det skyldes, at i stedet for at klargøre kvartalsvise patches tilbragte Adobes sikkerhedsteam det meste af juli at scramble for at løse to kritiske sikkerhedsproblemer: Den ene skyldes en fejl i Microsofts ATL-program (Active Template Library) og den anden en kritisk fejl i Flash- og Reader-softwaren der blev udnyttet i cyberangreb.

[Yderligere læsning: Sådan fjerner du malware fra din Windows-pc]

"Da vi havde ildboringen i juli, da vi arbejdede på at få den haste plaster ud af cyklus, der påvirker vores cyklus, "sagde Brad Arkin, direktør for produktsikkerhed og privatliv.

ATL-problemet var en stor aftale, fordi Adobe, ligesom andre softwareleverandører, måtte kamme gennem sin kildekode for at se, hvilke produkter der brugte buggy bibliotek komponent. "Vi gik fra triaging over 200 produkter inden for Adobe for at vurdere, hvilke produkter der var potentielt sårbare over for ATL header problemet for at få en opdatering hurtigst muligt," sagde Arkin.

Adobe har bygget tid i sin kvartalsplan for at håndtere out-of-cycle opdateringer, men der var simpelthen ikke tid nok til at håndtere begge disse store problemer og opdateringerne i kvartalet. Så i stedet for en september-udgivelse vil Adobes næste kvartalsopdatering blive udgivet 13. oktober samme dag som Microsofts sikkerhedsudgivelse for "Patch Tuesday" i den pågældende måned.

Adobe er ikke det eneste firma, der flytter rundt i programrettelsen. Oracle sagde på torsdag, at det ville være en uge forsinket med sin næste kritiske patchopdatering, der nu forventes 20. oktober. Oracle flyttede datoen, så dens patchfrigivelse ikke ville binde sammen med virksomhedens årlige Oracle OpenWorld-konference, der blev afholdt 11. oktober i San Francisco.

Arkin håber, at hans firma sender sin efterfølgende opdatering tre måneder efter oktober, men Adobe vil låse ned den dato, når den sender de 13 oktober patches. "For os er dette en løbende proces," sagde han. "Vi arbejder sammen med kunderne for at give dem så meget varsel, som vi kan."

Han sagde det er muligt, at fremtidige opdateringer også kunne forsinkes. "Vores plan er at [frigive opdateringer] hvert kvartal, og hvis vi nogensinde har brug for at ændre den formidlede tidsplan, så laver vi nyhederne så hurtigt som muligt."

Det er en god ide, fordi kunderne har deres sikkerhed patches skal være så forudsigelige som muligt, ifølge David Marcus, sikkerhedsforskningschef med McAfee Avert Labs. "Inkonsekvens i en regelmæssig patchcyklus er bare ikke til gavn for virksomhederne."