Adobe Reader ve Acrobat'taki Önemli Güvenlik Sorunlarını Düzeltme

Daha önce duyurulduğu üzere Adobe, Okuyucu ve Acrobat için Black Hat güvenlik konferansında geçen ay ortaya çıkan güvenlik açıklarını gideren bant dışı bir güncelleme yayınladı. Güncelleştirme Kritik olarak derecelendirilmiştir ve etkilenen sistemlere hemen uygulanmalıdır.

Adobe Ürün Güvenliği Olayı Yanıt Ekibi (PSIRT) bloğundaki bir gönderiye göre, "Güncelleştirmeler, CVE-2010 dahil olmak üzere ürünlerde kritik güvenlik sorunlarını ele alıyor -2862, Black Hat USA 2010 güvenlik konferansında ve Güvenlik Bülteni APSB10-16'da belirtildiği gibi 10 Ağustos Adobe Flash Player güncellemesinde değinilen güvenlik açıkları üzerinde tartışılmıştır. Adobe, kullanıcıların ürün kurulumları için güncellemeleri uygulamalarını önermektedir. "

Adobe bu güvenlik bülteninde yer alan sorunlardan herhangi birinin yabancılardaki herhangi bir kötüye kullanımdan haberdar olmadığını ve bu sürümün 12 Ekim 2010 olarak belirlenen bir sonraki üç aylık güncellemenin tarihini etkilemediğini vurguladı.

[Daha fazla okuma: Windows PC'nizden kötü amaçlı yazılımları nasıl temizlersiniz]

Görünüşe göre, geçmişte üç aylık güncelleme döngüsünün kapsamını da gözden kaçırdım. Bir Adobe sözcüsü Adobe'nin sürecini açıklığa kavuşturmak için benimle temasa geçti, "üç aylık güncelleme döngüsü Adobe Reader ve Acrobat'a özgüdür. Diğer Adobe ürün ekipleri, güncellemeleri uygun şekilde sunmak için Adobe'nin Güvenli Yazılım Mühendisliği Ekibi (ASSET) ile birlikte çalışırlar - döngüler, farklı olabilir. Adobe Reader ve Acrobat için yama döngüsü. "

nCircle Güvenlik Operasyonları Direktörü Andrew Storms, Adobe bülteni hakkında yorum yaptı. "Adobe, serbest bırakma mekanizmalarını kesinlikle geliştirdi. Bu sefer, bant dışı bir bant yayınlayacaklarını belirten bir iletişim gönderdi. Maalesef, ilk duyurudan beri, yayınlanma tarihinin değiştiği ve işletme güvenlik ekiplerinin Adobe'nin başlangıçta kesin bir yayın tarihi sunma konusundaki ilk baştaki başarısızlığı, kullanıcıların birçok sürümden çıkış mühendisliği döngüsünden endişe duymasına neden oluyor. ”

Storms ayrıca Adobe'nin ayrıntılarının ve rehberliğinin arzulanan bir şey bıraktığını da düşünüyor." Adobe yine de Özellikle de diğer satıcılarla karşılaştırıldığında güvenlik bültenleriyle ilgili yararlı bilgiler vermenin uzun bir yolunun var. Her zamanki gibi, bu yararlı bilgiler ve etki azaltma bilgilerine sahip değil. "

Ancak Storms'un belirttiği gibi, Adobe gelişiyor. Adobe sözcüsü, "Ürünlerimizin birçoğunun, özellikle de müşterilerimizin göreceli olarak çok yönlü ve çapraz platform erişimini göz önünde bulundurarak, Adobe 'nin saldırganların ilgisini artırdığını ve muhtemelen çekmeye devam edeceğini" belirtti. Ancak, Adobe endüstri lideri ürünlerimizi oluşturma ve güvenlik sorunlarına yanıt verme konusunda güvenlik yazılımı mühendisliği uygulamaları ve süreçleri ve müşterilerimizin güvenliği her zaman Adobe için kritik bir öncelik olacaktır. "

Adobe ürünlerinin yamalarını otomatikleştirmek için bu yılın başlarında yapılan bir uygulama gelecekteki ürün sürümlerine kum havuzu gibi daha fazla güvenlik önlemi oluşturma çabaları ile birleştirildi ve Adobe'nin ürün güvenliğini iyileştirmek ve kritik yamaları geliştirmek için gereken süreyi azaltmak için Microsoft ve büyük güvenlik sağlayıcılarıyla doğrudan çalışma çabaları, Adobe'nin güvenlik konusundaki kararlılığını gösterdi.

Umarım, gelecekte Adobe, kusurların ayrıntılarını ve nasıl p Güncellemenin uygulanması yerine saldırıyı önleyebilecek hafifletme yanısıra, istismar edilmeden de yararlanılabilir. BT yöneticileri, uygun risk analizine izin vermek ve güncellemenin istismar edilmesini beklemeden uygulamaya karşı alternatif bir koruma aracı sağlamak için veya bir sistemin bir nedenden ötürü herhangi bir nedenle yamalanamadığı durumlarda bu tür bilgilere ihtiyaç duymaktadır.

Şimdilik, başvurmanızı tavsiye ederim. Kötü amaçlı yazılım geliştiricilerin bu güvenlik açıklarını yakalamadan ve bu güvenlik açıklarından yararlanmaya başlamadan önce, Adobe Reader, Acrobat ve Flash güncellemeleri tüm güvenlik açığı olan sistemlerde güncellenir.

Twitter'da TechAudit'i takip edin.