Patch-Scramble löst Adobe-Updates aus Schedule

Der Juli war ein schwieriger Monat für das Sicherheitsteam von Adobe Systems. So hart, dass die vierteljährlich erscheinende Patch-Veröffentlichung des Unternehmens jeden Monat zu spät kommt, teilte der Sicherheitschef von Adobe am Donnerstag mit.

Im Juni hat Adobe sich an Microsoft, Oracle und Cisco gewandt und angekündigt, dass es abliefern wird Sicherheitsaktualisierungen in einem regelmäßigen, vorhersehbaren Zeitplan. Obwohl die meisten Softwarehersteller Patches auf Ad-hoc-Basis bereitstellen, erleichtern diese vorhersehbaren Aktualisierungen den Unternehmenskunden die Planung, wie sie diese bereitstellen. Zu der Zeit sagte Adobe, dass es am 8. September seine nächsten Patches herausbringen würde.

Aber das sollte nicht sein. Das liegt daran, dass das Sicherheitsteam von Adobe nicht die vierteljährlichen Patches erstellt hat, sondern die meiste Zeit im Juli damit beschäftigt war, zwei kritische Sicherheitsprobleme zu beheben: eines aufgrund eines Fehlers in der Microsoft ATL-Software (Active Template Library) und ein weiterer Fehler in der Flash- und Reader-Software das wurde bei Cyber-Attacken ausgenutzt.

[Weiterführende Literatur: So entfernen Sie Malware von Ihrem Windows-PC]

"Als wir im Juli die Feuerübung durchführten, als wir daran arbeiteten, diesen dringenden Patch aus dem Internet zu holen "Das hat sich auf unseren Zyklus ausgewirkt", sagte Brad Arkin, Director für Product Security and Privacy.

Das ATL-Problem war eine große Sache, da Adobe wie andere Softwareanbieter den Quellcode durchforsten musste, um zu sehen, welche Produkte verwendet wurden fehlerhafte Bibliothekskomponente. "Wir haben mehr als 200 Produkte in Adobe getestet, um zu ermitteln, welche Produkte möglicherweise für das ATL-Header-Problem anfällig sind, um so schnell wie möglich ein Update zu erhalten", sagte Arkin.

Adobe hat mehr Zeit in seinen vierteljährlichen Zeitplan investiert Out-of-Cycle-Updates, aber es war einfach nicht genug Zeit, um diese wichtigen Probleme und die Updates in diesem Quartal zu behandeln. Statt eines Releases im September wird das nächste vierteljährliche Update von Adobe am 13. Oktober veröffentlicht, am selben Tag wie die Sicherheitsupdates von Microsoft für diesen Monat "Patch Tuesday".

Adobe ist nicht das einzige Unternehmen, das seinen Patch-Zeitplan durchläuft. Am Donnerstag sagte Oracle, dass es eine Woche zu spät sein würde mit dem nächsten Critical Patch Update, das jetzt für den 20. Oktober erwartet wird. Oracle hat das Datum verlegt, damit die Patch-Veröffentlichung nicht mit der jährlichen Oracle OpenWorld Konferenz vom 11. bis 15. Oktober kollidiert in San Francisco.

Arkin hofft, dass sein Unternehmen sein darauffolgendes Update drei Monate nach Oktober liefern wird, aber Adobe wird dieses Datum sperren, wenn es die Patches vom 13. Oktober liefert. "Für uns ist das ein fortlaufender Prozess", sagte er. "Wir arbeiten mit den Kunden zusammen, um ihnen so viel Aufmerksamkeit wie möglich zu schenken."

Er sagte, dass es möglich ist, dass zukünftige Updates ebenfalls verzögert werden könnten. "Unser Plan ist es, vierteljährlich [Updates zu veröffentlichen], und wenn wir den kommunizierten Zeitplan jemals ändern müssen, werden wir diese Nachrichten sobald wie möglich verfügbar machen."

Das ist eine gute Idee, weil Kunden ihre Sicherheit mögen Patches sollen so vorhersehbar wie möglich sein, sagt David Marcus, Security Research Manager bei McAfee Avert Labs. "Inkonsistenz in einem regelmäßigen Patch-Zyklus ist für Unternehmen einfach nicht hilfreich."