Патч Scramble Броски Adobe Updates off Расписание

Июль был трудным месяцем для команды безопасности Adobe Systems. На самом деле так сложно, что второй выпуск ежеквартального исправления компании поступит на месяц поздно, заявил в четверг глава службы безопасности Adobe.

В июне Adobe взяла реплику от Microsoft, Oracle и Cisco и заявила, что начнет поставлять обновления безопасности на регулярном, предсказуемом графике. Хотя большинство компаний-разработчиков программного обеспечения выпускают исправления на разовой основе, эти предсказуемые обновления упрощают корпоративным клиентам планирование их развертывания. В то время Adobe заявила, что 8 сентября она выпустит свой следующий набор исправлений.

Но этого не должно было быть. Это связано с тем, что вместо того, чтобы готовить ежеквартальные исправления, группа безопасности Adobe провела большую часть июля скремблирования, чтобы исправить две критические проблемы безопасности: одна из них связана с недостатком программного обеспечения Microsoft ATL (Active Template Library), а другая - с критическим недостатком в его программном обеспечении Flash и Reader который использовался в кибер-атаках.

[Дополнительная информация: Как удалить вредоносное ПО с вашего ПК с Windows]

«Когда в июле мы провели тренировку по пожару, когда мы работали над тем, чтобы удалить этот срочный патч из цикл, который повлиял на наш цикл », - сказал Брэд Аркин, директор по безопасности продуктов и конфиденциальности.

Проблема ATL была большой проблемой, поскольку Adobe, как и другие поставщики программного обеспечения, должна была расчесывать исходный код, чтобы узнать, какие продукты использовали багги. «Мы отправились из более чем 200 продуктов внутри Adobe, чтобы оценить, какие продукты потенциально уязвимы для проблемы заголовка ATL, чтобы как можно скорее получить обновление», - сказал Аркин.

Adobe построила время в своем ежеквартальном графике для обработки вне цикла обновлений, но просто не хватило времени, чтобы справиться как с этими основными проблемами, так и с обновлениями в этом квартале. Таким образом, вместо сентябрьского выпуска очередное ежеквартальное обновление Adobe будет выпущено 13 октября того же дня, что и релиз Microsoft «Патч вторник» для этого месяца.

Adobe не является единственной компанией, которая перемещается по расписанию обновлений. В четверг Oracle заявила, что наступит неделя с новым критическим обновлением исправлений, ожидаемым 20 октября. Oracle перенесла дату, чтобы ее выпуск патчей не столкнулся с ежегодной конференцией Oracle OpenWorld, состоявшейся 11-15 октября в Сан-Франциско.

Аркин надеется, что его компания отправит свое последующее обновление через три месяца после октября, но Adobe заблокирует эту дату, когда она отправит пятна 13 октября. «Для нас это непрерывный процесс», - сказал он. «Мы работаем с клиентами, чтобы дать им как можно больше уведомления».

Он сказал, что возможно, что будущие обновления также могут быть отложены. «Наш план состоит в том, чтобы [выпускать обновления] каждый квартал, и если нам когда-либо понадобится изменить расписание связи, мы сделаем эту новость доступной, как только сможем».

Это хорошая идея, потому что клиентам нравится их безопасность по словам Дэвида Маркуса, менеджера по исследованиям безопасности в McAfee Avert Labs. «Несоответствие в регулярном патч-цикле просто не полезно для предприятий».