Patch Scramble kasta Adobe-uppdateringar utanför schema

juli var en hård månad för Adobe Systems säkerhetslag. Så tufft att företagets nästkommande kvartalsvisa patch release kommer att komma en månad sent, sa adobes säkerhetschef på torsdagen.

Adobe tog en aning från Microsoft, Oracle och Cisco i juni och sa att det skulle börja leverera säkerhetsuppdateringar på ett regelbundet, förutsägbart schema. Även om de flesta mjukvaruföretag rullar ut patchar på ett ad hoc-basis, gör dessa förutsägbara uppdateringar det enklare för företagskunder att planera hur de rullar ut dem. På den tiden sa Adobe att det skulle rulla ut sin nästa uppsättning patchar den 8 september.

Men det var inte det. Det beror på att i stället för att klara kvartalsvisa patroner tillbringade Adobes säkerhetsteam det mesta av juli för att fixa två kritiska säkerhetsproblem: en som beror på en fel i Microsofts ATL-program (Active Template Library) och den andra en kritisk fel i Flash- och Reader-programvaran

[Vidare läsning: Så här tar du bort skadlig kod från din Windows-dator]

"När vi hade en brandborr i juli, när vi arbetade för att få den brådskande patchen av cykeln, som påverkade vår cykel ", säger Brad Arkin, chef för produktsäkerhet och sekretess.

ATL-problemet var en stor sak eftersom Adobe, liksom andra mjukvaruförsäljare, fick kamma genom källkoden för att se vilka produkter som använde buggy bibliotek komponent. "Vi gick från att prata över 200 produkter inom Adobe för att utvärdera vilka produkter som var potentiellt utsatta för ATL-huvudproblemet för att få ut en uppdatering så snart som möjligt", säger Arkin.

Adobe har byggt tid i kvartalsplanen för att hantera Utan cykel uppdateringar, men det var helt enkelt inte tillräckligt med tid att hantera både dessa stora problem och uppdateringarna i kvartalet. I stället för septemberversionen kommer Adobes nästa kvartalsuppdatering att släppas 13 oktober samma dag som Microsofts säkerhetspublicering för Patch Tuesday för den månaden.

Adobe är inte det enda företaget som flyttar runt sin plåtschema. På torsdagen sa Oracle att det skulle vara en vecka sen med nästa Critical Patch Update, som nu väntas den 20 oktober. Oracle flyttade datumet så att dess patchfrigöring inte skulle kollidera med företagets årliga Oracle OpenWorld-konferens som hölls 11-15 oktober i San Francisco.

Arkin hoppas att hans företag skickar sin efterföljande uppdatering tre månader efter oktober, men Adobe kommer att låsa ned det datumet när den skickar 13 oktober-patchar. "För oss är detta en pågående process," sa han. "Vi arbetar med kunderna för att ge dem så mycket meddelande som vi kan."

Han sa att det är möjligt att framtida uppdateringar också kan försenas. "Vår plan är att [släpp uppdateringar] varje kvartal, och om vi någonsin behöver ändra det kommunicerade schemat, kommer vi att göra nyheterna tillgängliga så fort vi kan."

Det är en bra idé, för kunderna gillar deras säkerhet patchar vara så förutsägbara som möjligt, enligt David Marcus, säkerhetsforskningschef med McAfee Avert Labs. "Inkonsekvens i en vanlig patchcykel är bara inte till hjälp för företagen."