Android

Adobe macht auf Sicherheitslücken aufmerksam Sicherheitslücken

Ethical Hacking Full Course - Learn Ethical Hacking in 10 Hours | Ethical Hacking Tutorial | Edureka

Ethical Hacking Full Course - Learn Ethical Hacking in 10 Hours | Ethical Hacking Tutorial | Edureka
Anonim

Adobe Systems, dessen Anwendungen von Hackern hart getroffen wurden, durchforstet alten Code auf Bugs in seinen Produkten und plant eine regelmäßige vierteljährliche Patch-Veröffentlichung, so ein Top-Sicherheitsbeauftragter.

Der Schritt kommt, nachdem Adobe bemerkt hat " wesentliche Änderungen in der Bedrohungslandschaft ", sagte Brad Arkin, Direktor für Produktsicherheit und Datenschutz bei der Firma, am Mittwoch.

Adobe plant, alle drei Monate am zweiten Dienstag des Monats, am selben Tag, den Microsoft veröffentlicht, Patches herauszugeben seine Flecken, sagte Arkin. Das Freigeben von Patches zusammen mit Microsoft ist für Administratoren einfacher, da sie die Fixes beider Unternehmen gleichzeitig testen können, bevor sie Desktop-PC-Images aktualisieren.

[Weiterführende Literatur: So entfernen Sie Malware von Ihrem Windows-PC]

Adobe Reader und Acrobat-Software werden zum Erstellen und Lesen von PDF-Dateien (Portable Document Format) verwendet, das weit verbreitete Format zum Speichern von Webseiten, Erstellen von Formularen und für andere Zwecke.

Die Programme verwenden auch JavaScript, eine Programmiersprache, wenn nicht Korrekt implementiert, können Hacker PDFs erstellen, die zum Beispiel ein Speicherbeschädigungsproblem auslösen, das die vollständige Kontrolle über einen Computer und all seine Daten ermöglichen kann.

Adobe hatte einen Sicherheitsentwicklungszyklus - eine Reihe von Protokollen für Umgang mit Problemen - für mindestens vier Jahre. Aber da Adobe Reader und Acrobat entwickelt hat, hat das Unternehmen den alten Legacy-Code für Sicherheitslücken nicht überprüft, sagte Arkin. Das macht es jetzt.

Seit Februar hat Adobe seinen Code in seinen Anwendungen verstärkt, sagte Arkin. Dazu gehören automatisierte und menschliche Code-Reviews. Adobe verwendet "Fuzzers" oder Werkzeuge, die versuchen, Code in eine Anwendung zu injizieren, um zu sehen, ob er Daten akzeptiert.

Die Ingenieure von Adobe üben auch "Threat Modeling", bei dem Ingenieure versuchen, Bereiche herauszufinden, in denen Hacker arbeiten ", so Arkin," könnte Ärger verursachen und Fehler im Quellcode finden ", sagte Arkin.

Adobe will die Zeit, die es braucht, um einen Patch zu erstellen, wenn eine Schwachstelle bekannt wird, beschleunigen, sagte Arkin. Es dauerte zwei Wochen, bis Adobe einen Patch für die Ende April aufgedeckte JBIG2-Schwachstelle vorlegte. "Das war nicht so schnell, wie wir es gerne hätten", sagte er.

Arkin sagte, dass Adobe plant, innerhalb der nächsten drei bis vier Monate sein erstes vierteljährliches Patch-Update zu veröffentlichen, obwohl das genaue Datum nicht bekannt ist. t eingestellt worden.

Die intensiven Sicherheitsüberprüfungspläne werden fast permanent sein. "Wir glauben nicht, dass wir einen Punkt erreichen werden, an dem es fertig ist", sagte Arkin. "Kein Produkt wird völlig frei von Sicherheitslücken sein."