Patch Kritieke beveiligingsproblemen in Adobe Reader en Acrobat

Zoals eerder aangekondigd, heeft Adobe een out-of-band update uitgebracht voor Reader en Acrobat die kwetsbaarheden behandelt die werden onthuld op de Black Hat-beveiligingsconferentie van vorige maand. De update wordt beoordeeld als kritisch en moet onmiddellijk worden toegepast op getroffen systemen.

Volgens een bericht op het PSIRT-blog (Adobe Product Security Incidence Response Team): "De updates verhelpen kritieke beveiligingsproblemen in de producten, waaronder CVE-2010 -2862 besproken tijdens de recente beveiligingsconferentie Black Hat USA 2010 en kwetsbaarheden behandeld in de Adobe Flash Player-update van 10 augustus zoals vermeld in beveiligingsbulletin APSB10-16. Adobe raadt gebruikers aan de updates voor hun productinstallaties toe te passen. "

Adobe ook benadrukte dat hij niet op de hoogte is van eventuele exploits in het wild voor de problemen die worden behandeld in dit beveiligingsbulletin, en dat deze release geen gevolgen heeft voor de datum van de volgende geplande kwartaalupdate - die nog steeds op 12 oktober 2010 staat.

[Lees meer: ​​Hoe malware van uw Windows-pc te verwijderen]

Blijkbaar heb ik in het verleden de omvang van de driemaandelijkse updatecyclus in het verleden verkeerd uitgelegd. Een Adobe-woordvoerder nam contact met me op om het proces van Adobe te verduidelijken en verklaarde: "de driemaandelijkse updatecyclus is specifiek voor Adobe Reader en Acrobat." Andere productteams van Adobe werken met Adobe's Secure Software Engineering Team (ASSET) om updates te leveren waar nodig - cycli kunnen verschillen van de patchcyclus voor Adobe Reader en Acrobat. "

Andrew Storms, directeur Security Operations voor nCircle, gaf commentaar op het Adobe-bulletin. "Adobe heeft hun releasemechanisme zeker verbeterd, deze keer stuurden ze een mededeling waarin stond dat ze een out-of-band patch zouden leveren. Helaas is sinds de eerste aankondiging de exacte datum voor de release veranderd, waardoor beveiligingsteams van bedrijven hun hoofden, "toevoegend" aan het aanvankelijke onvermogen van Adobe om een ​​exacte releasedatum te bieden, laat veel gebruikers zich niet op hun gemak voelen over hun release-engineeringcyclus. "

Storms is ook van mening dat de details en begeleiding van Adobe een beetje te wensen overlaten" heeft nog een lange weg te gaan in het verstrekken van nuttige details met hun beveiligingsbulletins, vooral vergeleken met andere leveranciers. Zoals gebruikelijk mist deze informatie en details over de beperking. "

Zoals Storms opmerkte, verbetert Adobe echter. De woordvoerder van Adobe merkte op: "Gezien de relatieve alomtegenwoordigheid en het platformonafhankelijke bereik van veel van onze producten, in het bijzonder onze klanten, heeft Adobe de aandacht van aanvallers aangetrokken - en zal dit waarschijnlijk blijven trekken -. Echter, Adobe maakt gebruik van toonaangevende technieken en processen voor beveiligingssoftwareproductie bij het bouwen van onze producten en het reageren op beveiligingsproblemen, en de veiligheid van onze klanten zal altijd een cruciale prioriteit voor Adobe zijn. "

De implementatie eerder dit jaar van een updaterhulpprogramma om patches voor Adobe-producten te automatiseren, in combinatie met inspanningen om meer beveiligingsmaatregelen zoals sandboxing in toekomstige productreleases te bouwen en de inspanningen van Adobe die rechtstreeks met Microsoft en grote beveiligingsleveranciers werken om de productbeveiliging te verbeteren en de tijd die nodig is om kritieke patches te ontwikkelen te verkorten, tonen allemaal de inzet van Adobe voor beveiliging. > Hopelijk zal Adobe in de toekomst meer details geven over de details van de fouten en hoe deze kunnen p worden uitgebuit, evenals mitigaties die aanvallen kunnen voorkomen in plaats van de update toe te passen. IT-beheerders hebben dergelijke informatie nodig om een ​​goede risicoanalyse mogelijk te maken en alternatieve middelen te bieden voor bewaking tegen misbruik in afwachting van de implementatie van de update, of in gevallen waarin een systeem om de een of andere reden niet kan worden hersteld.

Voor nu raad ik u aan van toepassing te zijn de Adobe Reader, Acrobat en Flash-updates voor alle kwetsbare systemen voordat de ontwikkelaars van malware deze kwetsbaarheden inhalen en misbruiken.

Volg TechAudit op Twitter.