Adobe Snaps sa Attention Over Security Vulnerabilities

Ang Adobe Systems, na ang mga aplikasyon ay na-hit sa pamamagitan ng mga hacker, ay pinagsasama sa pamamagitan ng legacy code para sa mga bug sa mga produkto nito at nagplano ng isang regular na quarterly patch release, ayon sa isang nangungunang opisyal ng seguridad.

ang mga makabuluhang pagbabago sa landscape ng banta, "sabi ni Brad Arkin, direktor para sa seguridad at privacy ng produkto sa kumpanya, sa Miyerkules.

Adobe ay nagplano na mag-isyu ng mga patch tuwing tatlong buwan sa ikalawang Martes ng buwan, sa parehong araw na inilalabas ng Microsoft ang mga patches nito, sinabi ni Arkin. Ang paglalabas ng mga patch sa magkasunod sa Microsoft ay mas madali para sa mga administrator, na maaaring subukan ang mga pag-aayos mula sa parehong mga kumpanya sa parehong oras bago i-update ang mga imahe sa desktop PC.

[Karagdagang pagbabasa: Paano alisin ang malware mula sa iyong Windows PC]

at ang software na Acrobat ay ginagamit para sa paglikha at pagbasa ng mga PDF (Portable Document Format) na mga file, na kung saan ay ang malawak na ginagamit na format para sa pag-save ng mga pahina ng Web, paglikha ng mga form at para sa iba pang paggamit.

Ang mga programa ay gumagamit din ng JavaScript, isang programming language na kung hindi ang maipapatupad nang tama ay maaaring pahintulutan ang mga hacker na gumawa ng mga PDF na nagpapalitaw, halimbawa, isang problema sa memorya ng katiwalian na maaaring magpapahintulot para sa kumpletong kontrol ng isang computer at lahat ng data nito.

Ang Adobe ay nagkaroon ng lifecycle ng pag-unlad ng seguridad - isang set ng mga protocol para sa pagharap sa mga problema - para sa hindi bababa sa apat na taon. Subalit habang binuo ng Adobe ang Reader and Acrobat, ang kumpanya ay hindi sumuri sa lumang legacy code para sa mga kahinaan sa seguridad, sinabi ni Arkin. Ito ay ginagawa na ngayon.

Mula noong Pebrero, pinatitibay ng Adobe ang code nito sa mga application nito, sinabi ni Arkin. Na kasama ang paggawa ng awtomatiko pati na rin ang mga review ng code ng tao. Ang Adobe ay gumagamit ng "fuzzers," o mga tool na nagsisikap na mag-inject ng code sa isang application upang makita kung tumatanggap ito ng data na hindi dapat ito.

Ang mga inhinyero ng Adobe ay nagsasagawa rin ng "pagmomolde ng banta," kung saan ang mga inhinyero ay nagsisikap na malaman ang mga lugar kung saan ang mga hacker ay maaaring maging sanhi ng kapahamakan at makahanap ng mga bahid sa source code, sinabi ni Arkin.

Nais ng Adobe na pabilisin ang oras na kinakailangan upang lumikha ng isang patch kapag ang isang kahinaan ay isiwalat, sinabi ni Arkin. Kinuha ang Adobe dalawang linggo upang makabuo ng isang patch para sa kahinaan ng JBIG2 na ipinahayag sa katapusan ng Abril. Sinabi ni Arkin na plano ng Adobe na magkaroon ng unang quarterly patch update release sa loob ng susunod na tatlo hanggang apat na buwan, bagaman ang eksaktong petsa ay hindi na- ay itinakda.

Ang intensive security review plan ay halos permanenteng. "Hindi namin iniisip na sasaktan natin ang isang punto kung saan ito ay tapos na," sabi ni Arkin. "Walang produkto ay magiging ganap na libre ng mga vulnerabilites."