Adobe bör vara mer proaktiv om säkerhet

Adobe kommer att släppa en nödsituation, som förväntas inom två veckor, för att ansluta en säkerhetsfel i Adobe Reader, senast i en serie av programmets senaste sårbarheter. Problemet är att denna fel uppstod genom en presentation på Black Hat-konferensen i förra veckan, och inte av Adobes säkerhetslag.

Kanske bör Adobe presentera presentatören Charlie Miller, en analytiker med oberoende säkerhetsutvärderare, på lönelistan? Kanske då kan det bli proaktivt snarare än reaktivt för att möta sina kunders behov.

Millers presentation, baserat på hans vitbok, illustrerar hur buggen gör det möjligt att få kontroll över en dator genom att utnyttja en kritisk glitch i hur Adobe Reader analyserar teckensnitt i bärbart dokumentformat (PDF).

[Ytterligare läsning: Så här tar du bort skadlig kod från din Windows-dator]

Det kallas också ett "heltal överflöde i CoolType.dll i Adobe Reader 8.2.3 och 9.3.3, och Acrobat 9.3.3, "enligt den amerikanska avdelningen för hemlandsäkerhetens nationella sårbarhetsdatabas. Det betyder att en skadlig PDF med ett hemligt kodat TrueType-teckensnitt kan användas för att hacka in i datorn.

Är det här senaste felet en olycklig incident? Kanske inte. Adobes PDF-tittare hade säkerhetsproblem i förra månaden, och Adobes svar var att berätta för användarna att vänta på en uppdatering i slutet av året. (Hittills har Adobe släppt fyra korrigeringar för Acrobat och Reader i år.)

Lägg till de många buggarna i Adobes Flash Player, och du kan se Steve Jobs punkt att den har "en av de värsta säkerhetsrekorden, "och kan orsaka företag massor av huvudvärk.

Vid den här tiden är jag inte säker på att Adobe kan vinna hjärtan och sinnena hos chefer eller företagare efter så många säkerhetsbrister. Men åtminstone den här tiden verkar Adobe vara att arbeta med en nödsituation, istället för att föreslå att användarna väntar på nästa kvartalsuppdatering, vilket gör sina kunder till en prioritet snarare än en eftertanke.

Adobe kanske kanske ser mer ut på säkerhet konsulter som Miller som inte är entrenched i företaget. Medan jag är säker på att arbetarna är kompetenta och jobbiga, kan företag drabbas av groupthink, där människor överensstämmer med gruppvärden och etik och är mindre villiga att erbjuda kritik eller alternativ.

Men omedelbart åtgärdar Adobe det här problemet att tillhandahålla väsentlig kundservice. Låt oss hoppas att det finns färre säkerhetsbrister på grund av det, och att Adobe fortsätter att visa hur mycket det värderar sina kunder med ett proaktivt och omfattande skydd mot skadlig kod.

För företagare som vill utesluta Adobe Reader helt och hållet finns det flera gratis PDF-läsare på marknaden utan lika många säkerhetsproblem, inklusive Foxit Reader eller Nuance PDF Reader.

När det gäller de faror som är associerade med Adobe Flash kan IT-chefer blockera Flash på Firefox och Google Chrome-webbläsare och se till att företaget har Web -filtreringsprogram än att blockera kända skadliga webbplatser.