DIY: Green Screen
Adobe Systems, אשר היישומים שלה נפגעו קשה על ידי האקרים, הוא סורק קוד מורשת עבור באגים במוצריה ומתכננת שחרור רבעוני קבוע תיקון, על פי בכיר אבטחה.
המהלך מגיע לאחר Adobe הבחין " שינויים משמעותיים בנוף האיום ", אמר בראד ארקין, מנהל אבטחת המוצרים והפרטיות בחברה, ביום רביעי.
Adobe מתכננת להנפיק תיקונים כל שלושה חודשים ביום שלישי השני של החודש, באותו יום שבו מיקרוסופט משחררת הטלאים שלו, אמר ארקין. השחרור של תיקונים בד בבד עם Microsoft הוא קל יותר למנהלי מערכת, אשר יכולים לבדוק את התיקונים של שתי החברות בו זמנית לפני עדכון תמונות המחשב השולחני. [
[קריאה נוספת: כיצד להסיר תוכנות זדוניות ממחשב Windows שלך]Adobe Reader ותוכנות Acrobat משמשות ליצירת וקריאת קובצי PDF (Portable Document Format), המהווה את הפורמט הנרחב המשמש לשמירת דפי אינטרנט, יצירת טפסים ושימושים אחרים.
התוכניות משתמשות גם ב- JavaScript, שפת תכנות אשר אם לא מיושם כהלכה יכול לאפשר לאקרים ליצור קובצי PDF שמפעילים, לדוגמה, בעיה של נזק לזיכרון שיכולה לאפשר שליטה מלאה על המחשב ועל כל הנתונים שלו.
ל- Adobe יש מחזור חיים של פיתוח אבטחה - סדרה של פרוטוקולים עבור התמודדות עם בעיות - לפחות ארבע שנים. אבל כמו Adobe פיתחה Reader ו Acrobat, החברה לא סקרה את קוד מורשת הישן עבור פגיעויות אבטחה, אמר ארקין. זה עושה את זה עכשיו.
מאז פברואר, Adobe כבר התקשות הקוד שלה ביישומים שלה, אמר ארקין. זה כלל את ביצוע אוטומטי כמו גם קוד האדם ביקורות. Adobe משתמשת ב "fuzzers", או בכלים שמנסים להזריק קוד ליישום כדי לראות אם הוא מקבל נתונים שהוא לא צריך.
המהנדסים של אדובי מתאמנים גם ב"מודל איום ", שבו מהנדסים מנסים להבין אזורים שבהם האקרים עלולה לגרום לעיוותים ולמצוא פגמים בקוד המקור, אומר ארקין.
Adobe רוצה להאיץ את הזמן הדרוש כדי ליצור תיקון כאשר מתגלה פגיעות, אמר ארקין. זה לקח Adobe שבועיים לבוא עם תיקון עבור הפגיעות JBIG2 גילה בסוף אפריל. "זה לא היה הכי מהר כפי שהיינו רוצים שזה יהיה", הוא אומר.
ארקין אמר Adobe מתכננת יש הראשון שלה תיקון רבעוני עדכון תיקון במהלך שלושה עד ארבעה חודשים, אם כי התאריך המדויק hasn ' תוכניות האבטחה האינטנסיביות יהיו כמעט קבועות. "אנחנו לא חושבים שנגיע לנקודה שבה זה נעשה, "אמר ארקין. "אין מוצר הולך להיות לגמרי ללא פגיעות."
בשנה שעברה, WabiSabiLabi פתחה אתר מכירות פומביות באינטרנט לפגיעות אבטחה שלא פורסמו, הנקראות גם 0days. מטרתה המוצהרת של החברה הייתה לספק שוק שיאפשר לחוקרי אבטחה עצמאיים להתפרנס מהפגיעות שהם מגלים. כדי למנוע פגיעויות מלהסתיים בידי פושעים, רק קונים מוסמכים רשאים להשתמש באתר המכירות הפומביות WabiSabiLabi.
בעוד חברות האבטחה נוהגות לשלם לחוקרים על נקודות תורפה ולאחר מכן לשמור על מידע זה מתחת לעטיפות, יש הסבורים כי על החוקרים לחשוף תחילה כאשר הפלאש משוחרר, הצג פרטים על הפגיעות הזמינה לציבור, פרקטיקה הידועה בקהילת האבטחה כמו גילוי מוסרי. [
נתבי בית פופולריים מכילים פגיעויות אבטחה קריטיות
13 נתבים פופולריים לבית ולמשרד קטן מכילים בעיות אבטחה העלולות לאפשר להאקר לחטט או לשנות את תעבורת הרשת, בהתאם למחקר חדש.
Adobe פרסמה עדכוני אבטחה מתוזמנים עבור מוצרי Reader, Acrobat, Flash Player ו- ColdFusion ביום שלישי כדי לתקן פגיעויות קריטיות רבות, כולל אחת שכבר מנוצלת באופן פעיל על ידי התוקפים.
העדכונים של Adobe Reader ו- Acrobat כוללים תיקונים ל -27 נקודות תורפה, 24 מהן עשויות להוביל לביצוע קוד שרירותי אם ינוצל בהצלחה. אחד הפגמים האחרים יכול לאפשר לתוקפים לעקוף את ההגנה על ארגז חול ב- Adobe Reader, כך מסרה החברה ביועצת אבטחה.