Уязвимости Adobe Snaps to Attention Over Security

Adobe Systems, чьи приложения сильно пострадали от хакеров, расчесывает устаревший код для ошибок в своих продуктах и ​​планирует регулярный ежеквартальный выпуск патча, согласно высокопоставленному должностному лицу службы безопасности.

Это происходит после того, как Adobe заметила " значительные изменения в ландшафте угроз », - сказал Брэд Аркин (Brad Arkin), директор по безопасности продуктов и конфиденциальности в компании. В среду Adobe планирует выпускать исправления каждые три месяца во второй вторник месяца, в тот же день, когда выпуски Microsoft его патчи, сказал Аркин. Освобождение патчей в тандеме с Microsoft упрощается для администраторов, которые могут одновременно тестировать исправления обеих компаний, прежде чем обновлять образы настольных компьютеров.

[Дополнительная информация: Как удалить вредоносное ПО с вашего ПК с Windows]

Adobe Reader и программное обеспечение Acrobat используются для создания и чтения файлов PDF (Portable Document Format), который является широко используемым форматом для сохранения веб-страниц, создания форм и для других целей.

В программах также используется JavaScript, язык программирования, реализованные правильно, могут позволить хакерам создавать PDF-файлы, которые вызывают, например, проблему с повреждением памяти, которая может обеспечить полный контроль над компьютером и всеми его данными.

В Adobe реализован жизненный цикл разработки безопасности - набор протоколов для имея дело с проблемами - как минимум четыре года. Но поскольку Adobe разработала Reader и Acrobat, компания не просмотрела старый код устаревания для уязвимостей безопасности, сказал Аркин. Это делает это сейчас.

С февраля Adobe закрепила свой код в своих приложениях, сказал Аркин. Это включает в себя автоматизацию, а также проверку кода человека. Adobe использует «fuzzers» или инструменты, которые пытаются внедрить код в приложение, чтобы увидеть, не принимает ли он данные, которых он не должен.

Инженеры Adobe также практикуют «моделирование угроз», где инженеры пытаются определить области, где хакеры может повлечь заблуждение и найти недостатки в исходном коде, сказал Аркин.

Adobe хочет ускорить время, необходимое для создания патча при раскрытии уязвимости, сказал Аркин. Adobe потребовалось две недели, чтобы придумать патч для уязвимости JBIG2, обнаруженной в конце апреля. «Это было не так быстро, как нам бы хотелось, - сказал он.

Аркин сказал, что Adobe планирует опубликовать свой первый ежеквартальный выпуск обновлений исправлений в течение следующих трех-четырех месяцев, хотя точная дата hasn ' t

Планы интенсивной проверки безопасности будут почти постоянными. «Мы не думаем, что мы достигнем точки, где это будет сделано», - сказал Аркин. «Ни один продукт не будет полностью свободен от уязвимостей».