תיקון טשטוש זרקת עדכוני Adobe מחוץ לתזמון

יולי היה חודש קשה עבור צוות האבטחה של Adobe Systems. כל כך קשה, למעשה, כי מהדורת תיקון רבעונית שנייה של החברה יגיע בסוף חודש מאוחר, אמר האבטחה של Adobe ביום חמישי. בחודש יוני, Adobe לקח רמז של מיקרוסופט, אורקל וסיסקו, ואמר שזה יתחיל לספק עדכוני אבטחה על לוח זמנים קבוע, צפוי. למרות שרוב חברות התוכנה משחררות תיקונים על בסיס אד-הוק, עדכונים צפויים אלה מקלים על לקוחות ארגוניים לתכנן כיצד הם מגלגלים אותם. באותו זמן, Adobe אמר שזה יהיה להשיק סט הבא שלה של תיקונים ב 8 בספטמבר.

אבל זה לא היה צריך להיות. הסיבה לכך היא שבמקום להרכיב תיקונים רבעוניים, צוות האבטחה של Adobe בילה את רוב יולי בניסיון לסדר שתי בעיות אבטחה קריטיות: אחת הנובעת מפגם בתוכנת ה- ATL (Active Template Library) של מיקרוסופט, והשנייה פגם קריטי בתוכנת Flash ו- Reader זה היה מנוצל בהתקפות סייבר. [

[לקריאה נוספת: כיצד להסיר תוכנות זדוניות ממחשב Windows שלך]

"כאשר היינו תרגיל אש בחודש יולי, כאשר עבדנו על מקבל את זה תיקון דחוף מתוך מחזור, שהשפיע על המחזור שלנו ", אמר בראד ארקין, מנהל אבטחת מוצר ופרטיות.

הבעיה של ATL היתה עניין גדול, שכן Adobe, כמו ספקי תוכנה אחרים, נאלצה לסרוק את קוד המקור שלה כדי לראות אילו מוצרים השתמשו מרכיב הספרייה. "אנחנו הלכנו מ triaging מעל 200 מוצרים בתוך Adobe כדי להעריך אילו מוצרים היו פוטנציאל פגיע לבעיה כותרת ATL, כדי לקבל עדכון בהקדם האפשרי", אמר ארקין.

Adobe יש זמן מובנה לתוך לוח הזמנים הרבעוני שלה לטפל אך לא היה מספיק זמן לטפל בשני הנושאים המרכזיים הללו ובעדכונים ברבעון זה. אז במקום שחרור ספטמבר, עדכון רבעוני הבא של Adobe ישוחרר ב -13 באוקטובר, באותו יום שבו "תיקון יום שלישי" של מיקרוסופט לשחרור האבטחה לחודש זה.

Adobe אינה החברה היחידה שמקיפה את לוח התיקון שלה. ביום חמישי, הודיעה אורקל כי יהיה זה שבוע מאוחר עם העדכון הבא שלה תיקון קריטי, צפוי עכשיו אוקטובר 20. אורקל העבירה את התאריך כדי לשחרר את התיקון לא יתנגש עם השנתי של החברה Oracle OpenWorld כנס, שנערך 11-15 אוקטובר בסן פרנסיסקו.

ארקין מקווה שחברתו תשלח את העדכון שלה לאחר שלושה חודשים לאחר אוקטובר, אך Adobe תנעל את התאריך שבו היא תפרסם את המדבקות ב -13 באוקטובר. "בשבילנו זה תהליך מתמשך", אמר. "אנחנו עובדים עם הלקוחות כדי לתת להם תשומת לב רבה ככל שנוכל". הוא אמר כי ייתכן כי עדכונים עתידיים יכול להתעכב גם כן. "התוכנית שלנו היא [לשחרר עדכונים] בכל רבעון, ואם נצטרך לשנות את לוח הזמנים המדובר, אנחנו נעשה את החדשות האלה ברגע שאנחנו יכולים."

זה רעיון טוב, כי לקוחות כמו האבטחה שלהם טלאים כדי להיות צפוי ככל האפשר, על פי דוד מרקוס, מנהל מחקר אבטחה עם McAfee Avert Labs. "חוסר עקביות במחזור תיקון קבוע הוא פשוט לא מועיל לארגונים"