Patch scramble jette Adobe des mises à jour de retard
Juillet a été un mois difficile pour Adobe Systems' équipe de sécurité. Si difficile, en fait, que la société de la deuxième jamais trimestriel patch version va arriver avec un mois de retard, Adobe chef de la sécurité a déclaré jeudi.
En juin, Adobe a pris un repère de Microsoft, Oracle et Cisco, et a dit qu'il commencerait à livrer les mises à jour sur une base régulière, prévisible. Bien que la plupart des entreprises de logiciels de déploiement des correctifs sur une base ad hoc, ces mises à jour prévisibles rendre plus facile pour les clients d'entreprise à planifier la façon dont ils les roule. À l'époque, Adobe a dit qu'il allait le lancement de son prochain jeu de patchs sur Sept. 8.
Mais ce n'était pas à l'être. C'est parce qu'au lieu de préparer trimestriel patchs, Adobe équipe de sécurité a passé la plupart de juillet le brouillage de résoudre à deux des problèmes de sécurité: l'un issu d'une faille de sécurité dans Microsoft ATL (Active Template Library) logiciel, et de l'autre une faille critique dans Flash et Reader logiciel qui a été exploités dans des cyber-attaques.
"Quand nous avons eu le feu de foret en juillet, lorsque nous travaillions sur l'obtention d'urgence patch hors de cycle, qui ont influé sur le cycle de," a dit Brad Arkin, directeur de Produits de Sécurité et de Confidentialité.
L'ATL question était une grosse affaire parce que Adobe, à l'instar d'autres éditeurs de logiciels, avaient pour peigne à travers son code source pour voir quels produits utilisés le buggy composant de la bibliothèque. "On est passé de tri de plus de 200 produits à l'intérieur d'Adobe pour évaluer les produits qui sont potentiellement vulnérables à l'en-tête ATL problème, à sortir une mise à jour dès que possible," Arkin a dit.
Adobe a intégré dans son calendrier trimestriel de la poignée du cycle de mises à jour, mais il n'y avait simplement pas assez de temps pour gérer à la fois à ces grandes questions et les mises à jour de ce trimestre. Ainsi, au lieu de septembre version, Adobe prochaine mise à jour trimestrielle sera publié Oct. 13, le même jour que Microsoft du "Patch Tuesday" mise à jour de sécurité pour ce mois.
Adobe n'est pas la seule entreprise en mouvement autour de son patch de l'annexe. Jeudi, Oracle a dit qu'il serait en retard d'une semaine avec sa prochaine mise à Jour Critique prévue Oct. 20. Oracle a déplacé la date, ainsi que son patch de presse ne serait pas en contradiction avec le annuelle de la société Oracle OpenWorld conférence, tenue Oct. 11-15 à San Francisco.
Arkin espère que son entreprise navire de sa mise à jour ultérieure, trois mois après le mois d'octobre, mais Adobe verrouiller la date à laquelle il expédie le Oct. 13 patchs. "Pour nous, c'est un processus continu," dit-il. "Nous travaillons avec les clients de leur donner autant d'avis que nous le pouvons."
Il a dit qu'il est possible que les futures mises à jour pourrait être retardée. "Notre plan est de [mises à jour] chaque trimestre, et si jamais nous avons besoin de changer le communiqué annexe, nous allons faire que de nouvelles disponibles dès que nous le pouvons."
C'est une bonne idée, car les clients aiment leurs correctifs de sécurité pour être aussi prévisible que possible, selon David Marcus, directeur de recherche en sécurité avec McAfee Avert Labs. "Incohérence dans un patch cycle est tout simplement pas utile pour les entreprises."
Date de publication: En juin, Adobe a pris un repère de Microsoft, Oracle et Cisco, et a dit qu'il commencerait à livrer les mises à jour sur une base régulière, prévisible. Bien que la plupart des entreprises de logiciels de déploiement des correctifs sur une base ad hoc, ces mises à jour prévisibles rendre plus facile pour les clients d'entreprise à planifier la façon dont ils les roule. À l'époque, Adobe a dit qu'il allait le lancement de son prochain jeu de patchs sur Sept. 8.
Mais ce n'était pas à l'être. C'est parce qu'au lieu de préparer trimestriel patchs, Adobe équipe de sécurité a passé la plupart de juillet le brouillage de résoudre à deux des problèmes de sécurité: l'un issu d'une faille de sécurité dans Microsoft ATL (Active Template Library) logiciel, et de l'autre une faille critique dans Flash et Reader logiciel qui a été exploités dans des cyber-attaques.
"Quand nous avons eu le feu de foret en juillet, lorsque nous travaillions sur l'obtention d'urgence patch hors de cycle, qui ont influé sur le cycle de," a dit Brad Arkin, directeur de Produits de Sécurité et de Confidentialité.
L'ATL question était une grosse affaire parce que Adobe, à l'instar d'autres éditeurs de logiciels, avaient pour peigne à travers son code source pour voir quels produits utilisés le buggy composant de la bibliothèque. "On est passé de tri de plus de 200 produits à l'intérieur d'Adobe pour évaluer les produits qui sont potentiellement vulnérables à l'en-tête ATL problème, à sortir une mise à jour dès que possible," Arkin a dit.
Adobe a intégré dans son calendrier trimestriel de la poignée du cycle de mises à jour, mais il n'y avait simplement pas assez de temps pour gérer à la fois à ces grandes questions et les mises à jour de ce trimestre. Ainsi, au lieu de septembre version, Adobe prochaine mise à jour trimestrielle sera publié Oct. 13, le même jour que Microsoft du "Patch Tuesday" mise à jour de sécurité pour ce mois.
Adobe n'est pas la seule entreprise en mouvement autour de son patch de l'annexe. Jeudi, Oracle a dit qu'il serait en retard d'une semaine avec sa prochaine mise à Jour Critique prévue Oct. 20. Oracle a déplacé la date, ainsi que son patch de presse ne serait pas en contradiction avec le annuelle de la société Oracle OpenWorld conférence, tenue Oct. 11-15 à San Francisco.
Arkin espère que son entreprise navire de sa mise à jour ultérieure, trois mois après le mois d'octobre, mais Adobe verrouiller la date à laquelle il expédie le Oct. 13 patchs. "Pour nous, c'est un processus continu," dit-il. "Nous travaillons avec les clients de leur donner autant d'avis que nous le pouvons."
Il a dit qu'il est possible que les futures mises à jour pourrait être retardée. "Notre plan est de [mises à jour] chaque trimestre, et si jamais nous avons besoin de changer le communiqué annexe, nous allons faire que de nouvelles disponibles dès que nous le pouvons."
C'est une bonne idée, car les clients aiment leurs correctifs de sécurité pour être aussi prévisible que possible, selon David Marcus, directeur de recherche en sécurité avec McAfee Avert Labs. "Incohérence dans un patch cycle est tout simplement pas utile pour les entreprises."
Auteur: Keylogger.Org L'Équipe
