Kritische Sicherheitsfehler in Adobe Reader und Acrobat beheben

Wie bereits angekündigt, hat Adobe ein Out-of-Band-Update für Reader und Acrobat veröffentlicht, das Schwachstellen behebt, die bei der Black Hat Security Conference letzten Monat aufgedeckt wurden. Das Update wird mit "Kritisch" bewertet und sollte sofort auf betroffene Systeme angewendet werden.

Einem Artikel im PSIRT-Blog des Adobe Product Security Incident Response-Teams zufolge "betreffen die Updates kritische Sicherheitsprobleme in den Produkten, einschließlich CVE-2010 -2862 auf der letzten Sicherheitskonferenz von Black Hat USA 2010 und Sicherheitslücken, die im Adobe Flash Player-Update vom 10. August behandelt wurden, wie im Sicherheitsbulletin APSB10-16 beschrieben, empfohlen. Adobe empfiehlt Benutzern, die Updates für ihre Produktinstallationen zu installieren. "

Adobe auch betont, dass es sich nicht bewusst ist, dass irgendwelche der in diesem Security Bulletin behandelten Probleme außer Kontrolle geraten sind, und dass diese Version das Datum der nächsten geplanten vierteljährlichen Aktualisierung nicht beeinflusst - die bleibt der 12. Oktober 2010.

[Weiterführende Literatur: So entfernen Sie Malware von Ihrem Windows-PC]

Offensichtlich habe ich den Umfang des vierteljährlichen Aktualisierungszyklus in der Vergangenheit falsch angegeben. Ein Adobe-Sprecher kontaktierte mich, um den Prozess von Adobe zu erläutern. "Der vierteljährliche Aktualisierungszyklus ist spezifisch für Adobe Reader und Acrobat. Andere Adobe-Produktteams arbeiten mit dem Secure Software Engineering Team (ASSET) von Adobe zusammen, um entsprechende Updates zu liefern Patch-Zyklus für Adobe Reader und Acrobat. "

Andrew Storms, Director Security Operations bei nCircle, kommentierte das Adobe-Bulletin. "Adobe hat definitiv ihren Veröffentlichungsmechanismus verbessert. Dieses Mal haben sie eine Mitteilung gesendet, in der sie ankündigten, dass sie einen Out-of-Band-Patch liefern würden. Leider hat sich das genaue Veröffentlichungsdatum geändert, so dass die Sicherheitsteams der Unternehmen sich verkratzen Die Tatsache, dass Adobe anfänglich nicht in der Lage ist, ein genaues Veröffentlichungsdatum zu liefern, lässt bei vielen Anwendern den Release-Engineering-Zyklus ungemütlich erscheinen. "

Storms hat auch das Gefühl, dass die Details und Anleitungen von Adobe ein wenig zu wünschen übrig lassen" Adobe immer noch Es ist noch ein langer Weg, nützliche Details mit ihren Sicherheitsbulletins zu liefern, insbesondere im Vergleich zu anderen Anbietern. Wie üblich fehlen hier nützliche Details und Informationen zur Schadensbegrenzung. "

Wie Storms bemerkte, verbessert sich Adobe jedoch. Der Sprecher von Adobe kommentiert: "Angesichts der relativen Allgegenwärtigkeit und der plattformübergreifenden Reichweite vieler unserer Produkte, insbesondere unserer Kunden, hat Adobe die Aufmerksamkeit von Angreifern auf sich gezogen - und wird dies wahrscheinlich weiterhin tun -, aber Adobe setzt branchenführende Maßstäbe Sicherheits-Software-Engineering-Praktiken und -Prozesse beim Erstellen unserer Produkte und die Reaktion auf Sicherheitsprobleme und die Sicherheit unserer Kunden werden für Adobe immer eine entscheidende Priorität sein. "

Anfang dieses Jahres wurde ein Updater-Dienstprogramm implementiert, um Patches für Adobe-Produkte zu automatisieren In Kombination mit dem Bestreben, weitere Sicherheitsmaßnahmen wie Sandboxing für künftige Produktversionen zu entwickeln, und die Bemühungen von Adobe, direkt mit Microsoft und wichtigen Sicherheitsanbietern zusammenzuarbeiten, um die Sicherheit der Produkte zu verbessern und den Zeitaufwand für die Entwicklung kritischer Patches zu reduzieren, zeigt das Engagement von Adobe für Sicherheit.

Hoffentlich wird Adobe in Zukunft mehr Details über die Besonderheiten der Fehler und wie sie p nicht nur ausgenutzt werden, sondern auch Abschwächungen, die einen Angriff verhindern können, anstatt das Update zu installieren. IT-Administratoren benötigen solche Informationen, um eine angemessene Risikoanalyse zu ermöglichen und alternative Möglichkeiten zum Schutz vor Exploit vor der Implementierung des Updates bereitzustellen oder in Fällen, in denen ein System aus irgendeinem Grund nicht gepatcht werden kann.

Im Moment empfehle ich Ihnen, sich zu bewerben Adobe Reader, Acrobat und Flash werden auf allen gefährdeten Systemen aktualisiert, bevor die Malware-Entwickler aufholen und diese Schwachstellen ausnutzen.

Folgen Sie TechAudit auf Twitter.