Patch kritisk sikkerhetsfeil i Adobe Reader og Acrobat

Som tidligere annonsert, har Adobe gitt ut en båndoppdatering for Reader og Acrobat som adresserer sårbarheter som ble avslørt på Black Hat-sikkerhetskonferansen i forrige måned. Oppdateringen er vurdert som kritisk og bør brukes umiddelbart til berørte systemer.

Ifølge et innlegg i bloggen for Adobe Product Security Incident Response Team (PSIRT), "Oppdateringene løser viktige sikkerhetsproblemer i produktene, inkludert CVE-2010 -2862 diskutert på den nye Black Hat USA 2010-sikkerhetskonferansen og sårbarheter adressert i Adobe Flash Player-oppdateringen 10. august, som nevnt i sikkerhetsbulletin APSB10-16. Adobe anbefaler at brukere bruker oppdateringene for deres produktinstallasjoner. "

Adobe også understreket at det ikke er kjent med noen utnytter i naturen for noen av problemene som er behandlet i denne sikkerhetsbulletinen, og at denne utgivelsen ikke påvirker datoen for den neste planlagte kvartalsoppdateringen - som forblir 12. oktober 2010.

[Videre lesing: Slik fjerner du skadelig programvare fra Windows-PCen]

Jeg har tilsynelatende misstatt omfanget av den kvartalsvise oppdateringssyklusen i det siste. En Adobe-talsperson kontaktet meg for å klargjøre Adobes prosess, og forklarte at "kvartalsoppdateringssyklusen er spesifikk for Adobe Reader og Acrobat. Andre Adobe-produktteam arbeider med Adobes Secure Software Engineering Team (ASSET) for å levere oppdateringer etter behov - sykluser kan være forskjellige fra patch-syklusen for Adobe Reader og Acrobat. "

Andrew Storms, direktør for sikkerhetsoperasjoner for nCircle, kommenterte Adobe-bulletinen. "Adobe har definitivt forbedret sin frigjøringsmekanisme. Denne gangen sendte de en kommunikasjon som sier at de ville levere en out-of-band-oppdatering. Dessverre, siden den første kunngjøringen, er den eksakte datoen for utgivelsen endret, slik at bedriftens sikkerhetsteam klipper seg hoveder, "legger til" Adobes opprinnelige manglende evne til å gi en eksakt utgivelsesdato, gjør at mange brukere føler seg dumme om sin frigjøringsprogramssyklus. "

Storms mener også at detaljene og veiledningen fra Adobe gir litt å være ønsket." Adobe still har en lang vei å gå i å gi nyttige detaljer med deres sikkerhetsbulletiner, spesielt sammenlignet med andre leverandører. Som vanlig mangler denne nyttige opplysninger og begrensende informasjon. "

Som Storms bemerket, er Adobe imidlertid bedre. Adobe-talsmannen kommenterte "gitt den relative ubiquiteten og kryssplattformen til mange av våre produkter, spesielt våre kunder, har Adobe tiltrukket seg - og vil trolig fortsette å tiltrekke seg - økende oppmerksomhet fra angriperne. Imidlertid har Adobe sysselsettende bransjeledende sikkerhetsprogramvare-prosesser og prosesser for å bygge opp våre produkter og svare på sikkerhetsproblemer, og sikkerheten til våre kunder vil alltid være en kritisk prioritet for Adobe. "

Implementeringen tidligere i år av et oppdateringsverktøy for å automatisere patching for Adobe-produkter kombinert med innsats for å bygge flere sikkerhetsforanstaltninger som sandboxing i fremtidige produktutgivelser, og at Adobes arbeid jobber direkte med Microsoft og viktige sikkerhetsleverandører for å forbedre produktsikkerheten og redusere tiden som kreves for å utvikle kritiske patcher, demonstrerer alle Adobes satsing på sikkerhet. > Forhåpentligvis vil Adobe i fremtiden gi mer detaljer om feilene og hvordan de kan utvides, samt avbøyninger som kan forhindre angrep i stedet for å bruke oppdateringen. IT-admins trenger slike opplysninger for å muliggjøre en forsvarlig risikoanalyse og å tilby alternative midler for å beskytte mot utnyttelse i påvente av implementering av oppdateringen, eller i tilfeller der et system ikke kan patches av en eller annen grunn.

For nå anbefaler jeg at du bruker Adobe Reader, Acrobat og Flash oppdateringer til alle sårbare systemer før malware-utviklerne fanger opp og begynner å utnytte disse sikkerhetsproblemene.

Følg TechAudit på Twitter.