Patch Gerangel wirft Adobe-updates off-Zeitplan
Juli war ein harter Monat für die Adobe Systems-security-team. So hart, in der Tat, dass die Unternehmen der zweit-je vierteljährliche patch-release wird kommen einen Monat zu spät, die Adobe-Sicherheits-Chef sagte am Donnerstag,.
Im Juni, Adobe nahm ein Stichwort von Microsoft, Oracle und Cisco, und sagte, es würde beginnen, die Bereitstellung von Sicherheits-updates auf einen regelmäßigen, vorhersehbaren Zeitplan. Obwohl die meisten software-Unternehmen roll-out der patches auf einer ad-hoc-basis, diese vorhersagbaren updates machen es einfacher für enterprise-Kunden, zu planen, wie Sie Rollen Sie aus. Zu der Zeit, Adobe sagte, es würde roll-out seiner nächsten patches auf. Sept. 8.
Aber das war nicht zu sein. Das ist, weil, anstatt bereitet die vierteljährlichen patches von Adobe security-team verbrachte die meiste Zeit von Juli scrambling zu beheben zwei kritische Sicherheitsprobleme: eine, die von einem Fehler in der Microsoft ATL (Active Template Library) - software, und die andere eine kritische Sicherheitslücke in seiner Flash-und Reader-software, die ausgenutzt wurde, in cyber-Attacken.
"Wir hatten die brandschutzübung im Juli, als wir noch daran, dass ein dringender patch ausschalten Zyklus, das belastet unseren Kreislauf", sagt Brad Arkin, director Produktsicherheit und Datenschutz.
Die ATL-Problem war ein großer deal, weil Adobe, wie andere software-Anbieter, hatte sich zu kämmen, sich durch den source code zu sehen, welche Produkte verwendet, die buggy-Bibliothek-Komponente. "Wir gingen von triaging über 200 Produkte innerhalb von Adobe zu bewerten, welche Produkte sind potenziell anfällig für die ATL-header-problem, zu bekommen, ein update so bald wie möglich," Arkin sagte.
Adobe hat gebaut Zeit in seiner vierteljährlichen Zeitplan zu handhaben, out-of-cycle-updates, aber es war einfach nicht genug Zeit, um diese wichtigen Fragen und die updates in diesem Quartal. So anstelle von einem September-release, Adobe nächsten vierteljährlichen update veröffentlicht wird. Okt. 13, am gleichen Tag wie Microsofts "Patchday" Sicherheitsupdates für diesen Monat.
Adobe ist nicht das einzige Unternehmen, das eine Bewegung um seine patch-Zeitplan. Am Donnerstag, Oracle sagte, es wäre eine Woche zu spät mit seiner nächsten Critical Patch Update jetzt erwartet Okt. 20. Oracle zog das Datum, so dass die jeweilige patch-Version wäre nicht zusammen mit der jährlichen Oracle-OpenWorld-Konferenz, statt. Okt. 11-15 in San Francisco.
Arkin hofft, sein Unternehmen mit der Auslieferung der nachfolgenden update-drei Monate nach dem Oktober, aber Adobe wird die Sperre nach unten, dass Datum, wenn es Schiffe die Okt. 13 patches. "Das ist für uns ein fortlaufender Prozess", sagte er. "Wir arbeiten mit den Kunden, um Ihnen so viel bemerken, wie wir können."
Er sagte, es ist möglich, dass zukünftige updates könnte verzögert werden, wie gut. "Unser plan ist es, [updates] in jedem Quartal, und wenn wir jemals ändern müssen die kommunizierten Zeitplan, wir werden machen, dass die news so schnell wie wir können."
Das ist eine gute Idee, weil die Kunden, wie Sie Ihre Sicherheits-patches zu sein, so vorhersehbar wie möglich, laut David Marcus, security research manager bei McAfee Avert Labs. "Inkonsistenzen in einen regelmäßigen patch-Zyklus ist nicht nur hilfreich für die Unternehmen."
Datum der Veröffentlichung: Im Juni, Adobe nahm ein Stichwort von Microsoft, Oracle und Cisco, und sagte, es würde beginnen, die Bereitstellung von Sicherheits-updates auf einen regelmäßigen, vorhersehbaren Zeitplan. Obwohl die meisten software-Unternehmen roll-out der patches auf einer ad-hoc-basis, diese vorhersagbaren updates machen es einfacher für enterprise-Kunden, zu planen, wie Sie Rollen Sie aus. Zu der Zeit, Adobe sagte, es würde roll-out seiner nächsten patches auf. Sept. 8.
Aber das war nicht zu sein. Das ist, weil, anstatt bereitet die vierteljährlichen patches von Adobe security-team verbrachte die meiste Zeit von Juli scrambling zu beheben zwei kritische Sicherheitsprobleme: eine, die von einem Fehler in der Microsoft ATL (Active Template Library) - software, und die andere eine kritische Sicherheitslücke in seiner Flash-und Reader-software, die ausgenutzt wurde, in cyber-Attacken.
"Wir hatten die brandschutzübung im Juli, als wir noch daran, dass ein dringender patch ausschalten Zyklus, das belastet unseren Kreislauf", sagt Brad Arkin, director Produktsicherheit und Datenschutz.
Die ATL-Problem war ein großer deal, weil Adobe, wie andere software-Anbieter, hatte sich zu kämmen, sich durch den source code zu sehen, welche Produkte verwendet, die buggy-Bibliothek-Komponente. "Wir gingen von triaging über 200 Produkte innerhalb von Adobe zu bewerten, welche Produkte sind potenziell anfällig für die ATL-header-problem, zu bekommen, ein update so bald wie möglich," Arkin sagte.
Adobe hat gebaut Zeit in seiner vierteljährlichen Zeitplan zu handhaben, out-of-cycle-updates, aber es war einfach nicht genug Zeit, um diese wichtigen Fragen und die updates in diesem Quartal. So anstelle von einem September-release, Adobe nächsten vierteljährlichen update veröffentlicht wird. Okt. 13, am gleichen Tag wie Microsofts "Patchday" Sicherheitsupdates für diesen Monat.
Adobe ist nicht das einzige Unternehmen, das eine Bewegung um seine patch-Zeitplan. Am Donnerstag, Oracle sagte, es wäre eine Woche zu spät mit seiner nächsten Critical Patch Update jetzt erwartet Okt. 20. Oracle zog das Datum, so dass die jeweilige patch-Version wäre nicht zusammen mit der jährlichen Oracle-OpenWorld-Konferenz, statt. Okt. 11-15 in San Francisco.
Arkin hofft, sein Unternehmen mit der Auslieferung der nachfolgenden update-drei Monate nach dem Oktober, aber Adobe wird die Sperre nach unten, dass Datum, wenn es Schiffe die Okt. 13 patches. "Das ist für uns ein fortlaufender Prozess", sagte er. "Wir arbeiten mit den Kunden, um Ihnen so viel bemerken, wie wir können."
Er sagte, es ist möglich, dass zukünftige updates könnte verzögert werden, wie gut. "Unser plan ist es, [updates] in jedem Quartal, und wenn wir jemals ändern müssen die kommunizierten Zeitplan, wir werden machen, dass die news so schnell wie wir können."
Das ist eine gute Idee, weil die Kunden, wie Sie Ihre Sicherheits-patches zu sein, so vorhersehbar wie möglich, laut David Marcus, security research manager bei McAfee Avert Labs. "Inkonsistenzen in einen regelmäßigen patch-Zyklus ist nicht nur hilfreich für die Unternehmen."
Autor: Keylogger.Org Team
