Security

luna trecută la conferința de securitate Black Hat

După cum sa anunțat anterior, Adobe a lansat o actualizare în afara trupei pentru Reader și Acrobat, care abordează vulnerabilitățile dezvăluite la conferința de securitate Black Hat luna trecută. Actualizarea este evaluată ca fiind critică și trebuie aplicată imediat sistemelor afectate.

Potrivit unui articol din blogul PSIRT (Adobe Product Security Response Team), actualizările abordează probleme critice de securitate în produse, inclusiv CVE-2010 -2862 discutat la conferința de securitate Black Hat USA 2010 și la vulnerabilitățile abordate în actualizarea Adobe Flash Player din august 10, după cum se menționează în Buletinul de securitate APSB10-16. Adobe recomandă ca utilizatorii să aplice actualizările pentru instalările produselor lor. "

Adobe a subliniat că nu este conștient de exploatări în sălbăticie pentru oricare dintre problemele abordate în acest buletin de securitate și că această versiune nu afectează data următoarei actualizări trimestriale programate - care rămâne la 12 octombrie 2010.

[Citirea suplimentară: Cum să eliminați programele malware de pe PC-ul dvs. de pe Windows]

Aparent, am trecut în trecut, în trecut, domeniul de aplicare al ciclului de actualizare trimestrial. Un alt purtător de cuvânt Adobe a contactat-mă pentru a clarifica procesul Adobe, explicând că "ciclul de actualizare trimestrial este specific pentru Adobe Reader și Acrobat. Alte echipe de produse Adobe lucrează cu echipa ASSET pentru a furniza actualizări, după cum este cazul - ciclurile pot diferi de ciclul de patch-uri pentru Adobe Reader și Acrobat. "

Andrew Storms, directorul operațiunilor de securitate pentru nCircle, a comentat buletinul Adobe. "Adobe a imbunatatit cu siguranta mecanismul de lansare, de data aceasta au trimis o comunicare prin care sustinea ca vor livra un patch din afara benzii. Din nefericire, de la primul anunt, data exacta pentru lansare sa schimbat, lăsandu- "adaugand" incapacitatea initiala a Adobe de a oferi o data exacta de lansare lasa multi utilizatori sa se simta inconstient in ceea ce priveste ciclul de lansare. "

Furtunile simte de asemenea ca detaliile si orientarile de la Adobe lasa putin sa fie dorite. are un drum lung de parcurs pentru a furniza detalii utile cu buletinele de securitate, mai ales in comparatie cu alti furnizori. Ca de obicei, acesta nu are detalii utile si informatii de atenuare. "

Asa cum a observat Storms, Adobe se imbunatateste. Purtatorul de cuvant al Adobe a comentat ca "avand in vedere omniprezenta relativa si multi-platforma de acoperire a multor produse, in special clientii nostri, Adobe a atras - si probabil va continua sa atraga - atentie sporita din partea atacatorilor. practicile și procesele de securitate ale software-ului de securitate în construirea produselor noastre și răspunderea la problemele de securitate, iar securitatea clienților noștri va fi întotdeauna o prioritate critică pentru Adobe. "

Implementarea la începutul acestui an a unui utilitar updater pentru automatizarea patch-urilor pentru produsele Adobe, combinate cu eforturile de a construi mai multe măsuri de securitate, precum sandboxing-ul în versiunile viitoare de produse și eforturile Adobe care lucrează direct cu Microsoft și furnizorii de securitate majoră pentru a îmbunătăți securitatea produsului și pentru a reduce timpul necesar dezvoltării de patch-uri critice demonstrează angajamentul Adobe față de securitate. > Sperăm că, în viitor, Adobe va oferi mai multe detalii despre specificul defectelor și modul în care acestea pot p să fie exploatată otențial, precum și măsuri de atenuare care pot împiedica atacarea în locul aplicării actualizării. Administratorii IT au nevoie de astfel de informații pentru a permite o analiză adecvată a riscurilor și pentru a oferi mijloace alternative de pază împotriva exploatării în așteptarea implementării actualizării sau în cazurile în care un sistem nu poate fi patchat dintr-un motiv.

Adobe Reader, Acrobat și Flash actualizează toate sistemele vulnerabile înainte ca dezvoltatorii de programe malware să recupereze și să înceapă să exploateze aceste vulnerabilități.

Urmăriți TechAudit pe Twitter.