Windows

Patch kritické bezpečnostní nedostatky v aplikacích Adobe Reader a Acrobat

The Hunter Engineering Company® Story

The Hunter Engineering Company® Story
Anonim

Jak bylo dříve oznámeno, společnost Adobe vydala aktualizovanou verzi pro čtečky a Acrobat, která se zabývá zranitelnostmi, která byla odhalena na konferenci zabezpečení společnosti Black Hat minulý měsíc. Aktualizace je klasifikována jako kritická a měla by být aplikována okamžitě do postižených systémů.

Podle příspěvku v blogu PSIRT ("Product Response Team Incident Response Team"), "Aktualizace řeší kritické problémy zabezpečení produktů, včetně CVE-2010 -2862 projednané na nedávné konferenci a zranitelnosti zabezpečení společnosti Black Hat USA 2010, které byly řešeny v aktualizaci Adobe Flash Player v srpnu 10, jak je uvedeno v bulletinu zabezpečení APSB10-16. Adobe doporučuje, aby uživatelé použili aktualizace pro instalaci svých produktů. "

Adobe také zdůraznil, že si není vědom žádného zneužívání ve volné přírodě pro některý z problémů popsaných v tomto bulletinu a že toto vydání nemá vliv na datum příští plánované čtvrtletní aktualizace - která zůstane 12. října 2010.

[Další informace o tom, jak odstranit malware z vašeho počítače se systémem Windows]

Zdá se, že minulý cyklus aktualizací v minulosti jsem v minulosti zjistil nesprávně. Mluvčí společnosti Adobe se obrátil na mne, aby upřesnil proces společnosti Adobe a vysvětlil, že "čtvrtletní cyklus aktualizace je specifický pro aplikace Adobe Reader a Acrobat. Další produktové týmy společnosti Adobe spolupracují s vývojovým týmem společnosti ASSET (Adobe Secure Software Engineering Team) cyklus náplastí pro aplikace Adobe Reader a Acrobat. "

Andrew Storms, ředitel divize Security Operations for nCircle, komentoval bulletin Adobe. "Společnost Adobe určitě zdokonalila svůj uvolňovací mechanismus a tentokrát poslali oznámení, v němž uvedli, že budou dodávat záplatu mimo bázi." Od prvního oznámení se bohužel změnil přesný termín vydání a ponechávaly týmy pro bezpečnost podnikání škrábání hlavy "a dodává, že" původní počáteční neschopnost společnosti Adobe poskytnout přesné datum uvolnění ponechává spoustu uživatelů pocit, že je jejich vývojový cyklus velice nervózní. "

Storms také cítí, že detaily a pokyny od společnosti Adobe trochu nechávají být žádoucí. má za sebou dlouhou cestu při poskytování užitečných detailů se svými bulletiny o zabezpečení, a to zejména ve srovnání s jinými dodavateli. Jako obvykle chybí užitečné informace a informace o zmírňování. "

Jak Storms poznamenal, Adobe se zlepšuje. Mluvčí společnosti Adobe uvedl, že "vzhledem k relativnímu všudypřítomnému a multiplatformnímu dosahu mnoha našich produktů, zejména našich klientů, společnost Adobe přitahuje - a bude pravděpodobně i nadále přitahovat - rostoucí pozornost útočníků. inženýrských postupů a procesů v oblasti bezpečnostního softwaru při budování našich produktů a při řešení bezpečnostních problémů a bezpečnost našich zákazníků bude vždy pro společnost Adobe rozhodující prioritou. "

Implementace nástroje updater, která byla zahájena v letošním roce, k automatizaci opravy produktů Adobe v kombinaci s úsilím o vybudování dalších bezpečnostních opatření, jako je pískování do budoucích verzí produktů, a úsilí společnosti Adobe, které pracuje přímo s Microsoft a hlavními dodavateli zabezpečení s cílem zlepšit bezpečnost produktů a zkrátit dobu nutnou k vývoji kritických záplat, demonstrují závazek společnosti Adobe k bezpečnosti. > Doufejme, že v budoucnu společnost Adobe poskytne další podrobnosti o specifikacích chyb a jejich možnostech aby se zabránilo útokům namísto použití aktualizace. IT administrátoři potřebují takové informace, aby umožňovaly správnou analýzu rizik a poskytovaly alternativní prostředky k ochraně před zneužitím až do provedení aktualizace nebo v případech, kdy systém nemůže být z nějakého důvodu patched.

Prozatím doporučuji použít aplikace Adobe Reader, Acrobat a Flash aktualizují všechny chybné systémy předtím, než vývojáři škodlivého softwaru dohoní a začnou využívat tato zranitelná místa.

Sledujte TechAudit na Twitteru.