Patch Critical Security Flaws sa Adobe Reader at Acrobat

Tulad ng dati nang inihayag, ang Adobe ay naglabas ng isang out-of-band update para sa Reader and Acrobat na tumutugon sa mga kahinaan na inihayag sa Black Hat security conference noong nakaraang buwan. Ang pag-update ay na-rate bilang Critical at dapat na agad na mailapat sa mga apektadong system.

Ayon sa isang post sa blog ng "Product Insident Response Team" (PSIRT), "Ang mga update ay tumutugon sa mga kritikal na isyu sa seguridad sa mga produkto, kabilang ang CVE-2010 -2862 na tinalakay sa kamakailang conference ng Black Hat USA 2010 at mga kahinaan na natugunan sa pag-update ng Agosto 10 ng Adobe Flash Player na nakasaad sa Security Bulletin APSB10-16. Inirerekomenda ng Adobe na mag-apply ang mga user ng mga update para sa kanilang mga pag-install ng produkto. "

Adobe stressed na hindi alam ang anumang pagsasamantala sa ligaw para sa alinman sa mga isyu na natugunan sa bulletin na ito sa seguridad, at ang paglabas na ito ay hindi nakakaapekto sa petsa ng susunod na naka-iskedyul na pag-update ng quarterly - na nananatiling Oktubre 12, 2010.

[Karagdagang pagbabasa: Paano mag-alis ng malware mula sa iyong Windows PC]

Tila, hindi ko sinasadya ang saklaw ng quarterly update cycle sa nakaraan, bagaman. Ang isang tagapagsalita ng Adobe ay nakipag-ugnay sa akin upang linawin ang proseso ng Adobe, na nagpapaliwanag "ang ikot ng quarterly update ay tiyak sa Adobe Reader at Acrobat. Iba pang mga koponan ng produkto ng Adobe ay gumagana sa Secure Software Engineering Team ng Adobe (ASSET) upang maghatid ng mga update ayon sa naaangkop - ang ikot ng patch para sa Adobe Reader at Acrobat. "

Andrew Storms, Direktor ng Operations sa Seguridad para sa nCircle, nagkomento sa Adobe bulletin. "Sa katunayan, pinalitan ng Adobe ang kanilang mekanismo ng paglabas. Sa pagkakataong ito ay nagpadala sila ng isang komunikasyon na nagsasabi na maghahatid sila ng patch ng out-of-band. Sa kasamaang palad, dahil sa unang anunsyo, ang eksaktong petsa para sa release ay nagbago, ang mga ulo, "pagdaragdag" ng unang kawalang kakayahan ng Adobe upang magbigay ng isang eksaktong petsa ng paglabas ay nag-iiwan ng maraming mga gumagamit na nakakalibang tungkol sa kanilang pag-ikot ng engineering cycle. "

Ang mga bagyo ay nararamdaman din na ang mga detalye at patnubay mula sa Adobe ay umaalis sa kaunting nais na" Adobe pa rin ay may isang mahabang paraan upang pumunta sa pagbibigay ng mga kapaki-pakinabang na mga detalye sa kanilang mga bulletins seguridad, lalo na kumpara sa iba pang mga vendor. Gaya ng dati, ito ay walang mga kapaki-pakinabang na detalye at impormasyon sa pagpapagaan. " Sinabi ng tagapagsalita ng Adobe na "binigyan ang kamag-anak na nasa ubiquity at cross-platform na maabot ng marami sa aming mga produkto, lalo na sa aming mga kliyente, ang Adobe ay nakakaakit - at malamang na patuloy na makaakit - ang pagtaas ng pansin mula sa mga attackers. ang mga kasanayan sa software sa engineering ng seguridad at mga proseso sa pagbuo ng aming mga produkto at pagtugon sa mga isyu sa seguridad, at ang seguridad ng aming mga customer ay palaging magiging isang kritikal na priyoridad para sa Adobe. "

Ang pagpapatupad ng mas maaga sa taong ito ng isang utility ng updater upang awtomatiko ang patching para sa mga produkto ng Adobe, kasama ang mga pagsisikap na bumuo ng higit pang mga hakbang sa seguridad tulad ng sandboxing sa mga hinaharap na paglabas ng produkto, at ang mga pagsisikap ng Adobe na direktang nagtatrabaho sa Microsoft at mga pangunahing vendor ng seguridad upang mapabuti ang seguridad ng produkto at bawasan ang oras na kinakailangan upang bumuo ng mga kritikal na patch lahat ay nagpapakita ng pangako ng Adobe sa seguridad. > Sana, sa hinaharap ang Adobe ay magbibigay ng higit pang mga detalye tungkol sa mga specifics ng mga flaws at kung paano sila maaaring p sa totoo ay mapagsamantalahan, pati na rin ang mga mitigations na maaaring maiwasan ang atake bilang kapalit ng pag-aaplay ng pag-update. Ang mga tagapamahala ng IT ay nangangailangan ng ganitong impormasyon upang pahintulutan ang tamang pagtatasa sa panganib at upang magbigay ng alternatibong paraan ng pagbabantay laban sa pagsasamantala sa nakabinbing pagpapatupad ng update, o sa mga kaso kung saan ang isang sistema ay hindi maaaring patched para sa ilang mga dahilan.

Sa ngayon, inirerekomenda ko na ilapat mo ang Adobe Reader, Acrobat, at Flash na mga pag-update sa lahat ng mga mahihinang sistema bago ang mga developer ng malware ay nakuha at sinisimulang gamitin ang mga kahinaan na ito.

Sundin ang TechAudit sa Twitter.