Patch Scramble Nagtatanggal ng mga Update ng Adobe Update Iskedyul

Hulyo ay isang mahihirap na buwan para sa koponan ng seguridad ng Adobe Systems. Sa katunayan, sa katunayan, na ang pangalawang quarterly patch release ng kumpanya ay darating nang isang buwan huli, ang punong seguridad ng Adobe sinabi Huwebes.

Noong Hunyo, kinuha ng Adobe ang isang cue mula sa Microsoft, Oracle at Cisco, at nagsabing magsisimulang maghatid ito mga update sa seguridad sa isang regular, predictable na iskedyul. Bagaman ang karamihan sa mga kompanya ng software ay naglulunsad ng mga patch sa isang ad hoc na batayan, ang mga predictable update na ito ay nagpapadali para sa mga customer ng enterprise na magplano kung paano nila ilalabas ang mga ito. Sa panahong iyon, sinabi ni Adobe na ilalabas nito ang susunod na hanay ng mga patch sa Setyembre 8.

Ngunit hindi iyan. Ito ay dahil sa halip na maghanda ng mga quarterly patches, ang koponan ng seguridad ng Adobe ay gumastos ng karamihan ng Hulyo na pag-uusap upang ayusin ang dalawang kritikal na problema sa seguridad: ang isang stemming mula sa isang kapintasan sa software ng ATL (Active Template Library) ng Microsoft, at ang iba pang kritikal na depekto sa software ng Flash at Reader nito na pinagsamantalahan sa cyber-attack.

[Karagdagang pagbabasa: Paano tanggalin ang malware mula sa iyong Windows PC]

"Kapag nagkaroon kami ng fire drill noong Hulyo, kapag kami ay nagtatrabaho sa pagkuha ng kagyat na patch off sa cycle, na nakakaapekto sa aming ikot, "sabi ni Brad Arkin, direktor para sa Product Security at Privacy.

Ang ATL isyu ay isang malaking deal dahil Adobe, tulad ng iba pang mga software vendor, ay nagkaroon na magsuklay sa pamamagitan ng source code upang makita kung aling mga produkto ang ginamit bahagi ng maraming surot na library. "Kami ay nagpunta mula sa triaging ng 200 mga produkto sa loob ng Adobe upang suriin kung aling mga produkto ay potensyal na mahina laban sa ATL header problema, sa pagkuha ng isang update sa lalong madaling panahon," sinabi Arkin.

Adobe ay binuo ng oras sa kanyang quarterly iskedyul upang mahawakan out-of-cycle na mga pag-update, ngunit mayroon lamang ay hindi sapat na oras upang mahawakan ang parehong mga pangunahing isyu at ang mga update sa quarter na ito. Kaya sa halip na isang release ng Setyembre, ang susunod na quarterly update ng Adobe ay inilabas Oktubre 13, sa parehong araw ng seguridad ng Microsoft's "Patch Martes" para sa buwan na iyon.

Hindi lamang ang Adobe ang gumagalaw sa paligid ng iskedyul ng patch nito. Noong Huwebes, sinabi ni Oracle na magiging late na ang isang linggo na may kasunod na Kritikal Patch Update, na inaasahang Oktubre 20. Inilipat ng Oracle ang petsa upang ang pagtanggal ng patch ay hindi makikipaglaban sa taunang conference ng kumpanya ng Oracle OpenWorld, gaganapin Oktubre 11-15 sa San Francisco.

Arkin inaasahan ang kanyang kumpanya ay ipapadala ang kasunod na pag-update ng tatlong buwan pagkatapos ng Oktubre, ngunit i-lock ng Adobe ang petsang iyon kapag ipinadala nito ang Oct. 13 patch. "Para sa amin ito ay isang patuloy na proseso," sabi niya. "Kami ay nagtatrabaho kasama ang mga customer upang mabigyan sila ng maraming abiso hangga't maaari."

Sinabi niya posible na ang mga pag-update sa hinaharap ay maaaring maantala din. "Ang aming plano ay upang [i-release ang mga update] sa bawat isang-kapat, at kung kailangan namin upang baguhin ang ipinag-uugnay na iskedyul, gagamitin namin ang balita na makukuha sa lalong madaling panahon."

Iyan ay isang magandang ideya, dahil ang mga customer tulad ng kanilang seguridad mga patches upang maging tulad ng predictable hangga't maaari, ayon sa David Marcus, security research manager sa McAfee Avert Labs. "Ang hindi pagkakapare-pareho sa isang regular na cycle ng patch ay hindi nakakatulong sa mga negosyo."