Fel i kritisk säkerhetsfel i Adobe Reader och Acrobat

Som tidigare meddelats har Adobe släppt en uppdatering utan band för Reader och Acrobat som behandlar sårbarheter som avslöjades vid Black Hats säkerhetskonferens förra månaden. Uppdateringen är klassificerad som kritisk och bör tillämpas omedelbart på berörda system.

Enligt ett inlägg i bloggen Adobe Product Security Incident Response Team (PSIRT), "Uppdateringarna tar upp viktiga säkerhetsproblem i produkterna, inklusive CVE-2010 -2862 diskuteras vid den senaste Black Hat USA 2010-säkerhetskonferensen och sårbarheterna i Adobe Adobe Flash Player-uppdateringen den 10 augusti, som anges i säkerhetsbulletinen APSB10-16. Adobe rekommenderar att användarna tillämpar uppdateringarna för deras produktinstallationer. "

Adobe också betonade att det inte är medvetet om några utbrott i naturen för några av de problem som behandlas i denna säkerhetsbulletin och att denna utgåva inte påverkar datumet för nästa schemalagda kvartalsvisa uppdatering - som förblir 12 oktober 2010.

[Ytterligare läsning: Så här tar du bort skadlig kod från din Windows-dator]

Jag har uppenbarligen misslyckat omfattningen av kvartalsvisa uppdateringscykeln tidigare. En Adobe-talesman kontaktade mig för att klargöra Adobes process och förklarade att "kvartalsvisa uppdateringscykeln är specifik för Adobe Reader och Acrobat. Andra Adobe-produktgrupper arbetar med Adobes Secure Software Engineering Team (ASSET) för att leverera uppdateringar efter behov - cykler kan skilja sig från patchcykeln för Adobe Reader och Acrobat. "

Andrew Storms, chef för säkerhetsoperationer för nCircle, kommenterade Adobe-bulletinen. "Adobe har definitivt förbättrat sin frigöringsmekanism. Den här gången skickade de en kommunikation som uppgav att de skulle leverera en out-of-band-patch. Tyvärr har det exakta datumet för utgåvan ändrats sedan det första tillkännagivandet, vilket ledde till att företagsäkerhetslagen skrattade huvuden, "lägger till" Adobes initiala oförmåga att tillhandahålla ett exakt utgivningsdatum gör att många användare känner sig oroliga över sin frigöringscykel. "

Stormar känner också att detaljer och vägledning från Adobe lämnar lite att önska." Adobe fortfarande har en lång väg att gå in för att ge användbara detaljer med sina säkerhetsbulletiner, särskilt jämfört med andra leverantörer. Som vanligt saknar den användbar information och begränsande information. "

Som Storms noterade förbättras dock Adobe. Adobe-talesmannen kommenterade "med tanke på den relativa ubiquiten och plattformen för många av våra produkter, särskilt våra kunder, har Adobe dragit sig - och kommer sannolikt att fortsätta att locka - ökad uppmärksamhet från attacker. Men Adobe använder branschledande säkerhetsprocesser och processer för att bygga våra produkter och svara på säkerhetsproblem, och säkerheten hos våra kunder kommer alltid att vara en viktig prioritering för Adobe. "

Implementeringen tidigare i år av ett uppdateringsverktyg för att automatisera patching för Adobe-produkter kombinerat med ansträngningar att bygga fler säkerhetsåtgärder som sandboxing i framtida produktutgåvor och Adobes ansträngningar att arbeta direkt med Microsoft och större säkerhetsleverantörer för att förbättra produktsäkerheten och minska tiden som krävs för att utveckla kritiska patchar visar alla Adobes engagemang för säkerhet. > Förhoppningsvis kommer Adobe i framtiden att ge mer detaljer om bristerna och hur de kan p utnyttjas otentialt, liksom mildnader som kan förhindra attack i stället för att tillämpa uppdateringen. IT-administratörer behöver sådan information för att möjliggöra en korrekt riskanalys och att tillhandahålla alternativa åtgärder för att skydda mot exploatering i avvaktan på att uppdateringen genomförs, eller i fall där ett system inte kan patchas av någon anledning.

För närvarande rekommenderar jag att du ansöker Adobe Reader, Acrobat och Flash uppdateringar till alla sårbara system innan malwareutvecklarna hamnar och börjar utnyttja dessa sårbarheter.

Följ TechAudit på Twitter.