Patch Scramble Gooit Adobe Updates off Schema

Juli was een moeilijke maand voor het beveiligingsteam van Adobe Systems. Zo moeilijk zelfs dat de tweede kwartaaluitgave van het bedrijf ooit een maand te laat zal aankomen, zei de beveiligingsleider van Adobe donderdag.

In juni volgde Adobe een aanwijzing van Microsoft, Oracle en Cisco en zei dat het zou beginnen met leveren beveiligingsupdates volgens een regelmatig, voorspelbaar schema. Hoewel de meeste softwarebedrijven patches op ad-hocbasis uitrollen, maken deze voorspelbare updates het voor zakelijke klanten eenvoudiger om te plannen hoe ze deze uitrollen. Op dat moment zei Adobe dat het op 8 september zijn volgende set patches zou uitrollen.

Maar dat mocht niet zo zijn. Dat komt omdat Adobe's beveiligingsteam in plaats van het voorbereiden van driemaandelijkse patches het grootste deel van juli probeerde om twee kritieke beveiligingsproblemen op te lossen: een probleem dat voortkwam uit een fout in de ATL-software (Active Template Library) van Microsoft en het andere een kritieke fout in de Flash- en Reader-software die werd misbruikt bij cyberaanvallen.

[Meer informatie: hoe u malware van uw Windows-pc verwijdert]

"Toen we in juli de brandoefening hadden gedaan, toen we bezig waren met het uitdrijven van die urgente patch cyclus, die onze cyclus beïnvloedde, "zei Brad Arkin, directeur voor productbeveiliging en privacy.

De ATL-kwestie was een groot probleem omdat Adobe, net als andere softwareleveranciers, de broncode moest doorzoeken om te zien welke producten de buggy bibliotheekcomponent. "We gingen van het testen van meer dan 200 producten binnen Adobe om te evalueren welke producten potentieel kwetsbaar waren voor het ATL-headerprobleem, om zo snel mogelijk een update uit te voeren," zei Arkin.

Adobe heeft tijd ingebouwd in haar kwartaalplanning om te verwerken out-of-cycle updates, maar er was eenvoudigweg niet genoeg tijd om deze grote problemen en de updates dit kwartaal te behandelen. Dus in plaats van een septemberuitgave wordt Adobe's volgende kwartaalupdate op 13 oktober vrijgegeven, dezelfde dag als Microsoft's "Patch Tuesday" beveiligingsrelease voor die maand.

Adobe is niet het enige bedrijf dat zijn patroontabel rondloopt. Op donderdag zei Oracle dat het een week te laat zou zijn met de volgende update van de kritieke patch, nu verwacht op 20 oktober. Oracle verplaatste de datum zodat de patch-release niet botste met de jaarlijkse Oracle OpenWorld-conferentie van het bedrijf, gehouden op 11 en 15 oktober. in San Francisco.

Arkin hoopt dat zijn bedrijf de daaropvolgende update drie maanden na oktober zal verzenden, maar Adobe blokkeert die datum wanneer het de 13 oktober-patches verzendt. "Voor ons is dit een continu proces," zei hij. "We werken samen met de klanten om hen zo veel mogelijk op de hoogte te stellen."

Hij zei dat het mogelijk is dat toekomstige updates ook worden uitgesteld. "Ons plan is elk kwartaal [updates vrijgeven] en als we het gecommuniceerde schema ooit moeten wijzigen, maken we dat nieuws zo snel mogelijk beschikbaar."

Dat is een goed idee, omdat klanten van hun beveiliging houden Patches zo voorspelbaar mogelijk te laten zijn, volgens David Marcus, security research manager bij McAfee Avert Labs. "Inconsistentie in een normale patchcyclus is gewoon niet nuttig voor ondernemingen."