Patch Scramble kaster Adobe Updates off Schedule

Juli var en tøff måned for Adobe Systems sikkerhetsgruppe. Så tøft faktisk at selskapets andre kvartalsvise patch-utgivelse kommer fram en måned for sent, sa adobes sikkerhetshode torsdag.

I juni tok Adobe en cue fra Microsoft, Oracle og Cisco, og sa at det skulle begynne å levere sikkerhetsoppdateringer på en vanlig, forutsigbar plan. Selv om de fleste programvarefirmaer utruller patcher på en ad hoc basis, gjør disse forutsigbare oppdateringene det enklere for bedriftskunder å planlegge hvordan de ruller dem ut. På den tiden sa Adobe at det ville rulle ut sitt neste sett med oppdateringer 8. september. Men det var ikke det. Det er fordi i stedet for å klargjøre kvartalsvise oppdateringer, tilbrakte Adobes sikkerhetsgruppe det meste av juli for å fikse to kritiske sikkerhetsproblemer: en som skyldes en feil i Microsofts ATL-programvare (Active Template Library), og den andre en kritisk feil i Flash- og Reader-programvaren Det ble utnyttet i cyber-angrep.

[Videre lesing: Slik fjerner du skadelig programvare fra din Windows-PC]

"Da vi hadde brannboringen i juli, da vi jobbet med å få den haster plåten av syklus, som påvirket vår syklus, "sa Brad Arkin, direktør for produktsikkerhet og personvern.

ATL-problemet var en stor avtale fordi Adobe, som andre programvareleverandører, måtte kammes gjennom kildekoden for å se hvilke produkter som brukte buggy bibliotek komponent. "Vi dro fra å trimme over 200 produkter i Adobe for å vurdere hvilke produkter som var potensielt utsatt for ATL header problemet, for å få ut en oppdatering så snart som mulig," sa Arkin.

Adobe har bygget tid inn i kvartalsplanen for å håndtere Utdateringer utenom syklusen, men det var rett og slett ikke nok tid til å håndtere begge disse store problemene og oppdateringene i kvartalet. Så i stedet for en septemberutgivelse, vil Adobes neste kvartalsoppdatering bli utgitt 13. oktober samme dag som Microsofts sikkerhetsutgivelse for "Patch Tuesday" for den måneden.

Adobe er ikke det eneste selskapet som beveger seg rundt sin oppdateringsplan. Oracle sa på torsdag at det ville være en uke forsinket med neste Critical Patch Update, nå forventet 20. oktober. Oracle flyttet datoen slik at patch-utgivelsen ikke ville kollidere med selskapets årlige Oracle OpenWorld-konferanse, holdt 11. oktober i San Francisco.

Arkin håper at selskapet vil sende sin etterfølgende oppdatering tre måneder etter oktober, men Adobe vil låse den datoen når den sender 13 oktober. "For oss er dette en pågående prosess," sa han. "Vi jobber med kundene for å gi dem så mye varsel som mulig." Han sa at det er mulig at fremtidige oppdateringer også kan bli forsinket. "Vår plan er å [frigjøre oppdateringer] hvert kvartal, og hvis vi noen gang trenger å endre den kommuniserte planen, vil vi få den aktuelle informasjonen tilgjengelig så snart vi kan."

Det er en god ide, fordi kundene liker deres sikkerhet patcher skal være så forutsigbare som mulig, ifølge David Marcus, sikkerhetsforskningsjef med McAfee Avert Labs. "Inkonsekvens i en vanlig patch syklus er bare ikke nyttig for bedrifter."