Patch Scramble heittää Adobe-päivitykset pois aikataulusta

Heinäkuu oli vaikea kuukausi Adobe Systemsin tietoturvaryhmälle. Todellakin kovin kova, että yhtiön toiseksi neljännesvuosittain julkaisema korjaustiedosto saapuu kuukauden kuluttua, Adoben turvallisuuspäällikkö totesi torstaina.

Adobe otti kesäkuussa Microsoftin, Oraclen ja Ciscon vihjeen ja sanoi, että se alkaa toimittaa tietoturvapäivitykset säännöllisesti ja ennustettavissa olevalla aikataululla. Vaikka useimmat ohjelmistotalot kehittävät korjaustiedostoja tilapäisesti, nämä ennakoitavat päivitykset helpottavat yritysasiakkaiden suunnittelua siitä, miten he julkaisevat niitä. Tuolloin Adobe ilmoitti julkaisevan seuraavan sarjansa 8. syyskuuta.

Mutta se ei ollut. Tämä johtuu siitä, että neljännesvuosittaisten korjaustietojen hankkimisen sijaan Adoben turvallisuusryhmä käytti suurimman osan heinäkuun salausta korjata kaksi kriittistä turvallisuusongelmaa: yksi Microsoftin ATL (Active Template Library) -ohjelmiston virheestä ja toinen kriittinen virhe Flash- ja Reader-ohjelmistossa jota käytettiin tietoverkkohyökkäyksissä.

[Lue lisää: Haittaohjelmien poistaminen Windows-tietokoneelta]

"Kun meillä oli palopora heinäkuussa, kun olimme töissä saada kiireellinen laastari pois sykli, joka vaikutti sykliimme ", sanoo tuoteturvallisuuden ja tietosuojan johtaja Brad Arkin.

ATL-numero oli iso juttu, koska Adobe, kuten muut ohjelmistotoimittajat, joutui yhdistämään lähdekoodinsa läpi. buginen kirjaston osa. "Olemme läpäisseet yli 200 Adobe-tuotteen hankkimista arvioidaksemme, mitkä tuotteet ovat mahdollisesti alttiita ATL-otsikko-ongelmalle ja saamaan päivityksen mahdollisimman pian", Arkin sanoi.

Adobe on rakentanut aikansa neljännesvuosittaiseen aikatauluunsa mutta ei yksinkertaisesti ollut tarpeeksi aikaa käsitellä näitä molempia tärkeitä asioita ja päivityksiä tämän vuosineljänneksen aikana. Joten syyskuun julkaisun sijaan Adoben seuraava neljännesvuosittainen päivitys julkaistaan ​​13. lokakuuta samana päivänä kuin Microsoftin "Patch Tuesday" tietoturvapäivämäärä tuona kuukaudessa.

Adobe ei ole ainoa yritys, joka liikkuu sen korjaustiedoston ajaksi. Torstaina Oracle ilmoitti, että se olisi viikon myöhässä seuraavalla kriittisellä päivityksellä, joka nyt odotetaan 20. lokakuuta. Oracle siirsi päivämäärän niin, että sen patch-julkaisu ei olisi ristiriidassa yhtiön vuotuisen Oracle OpenWorld -konferenssin kanssa. San Francisco.

Arkin toivoo, että hänen yrityksensä toimittaa sen myöhemmän päivityksen kolme kuukautta lokakuun jälkeen, mutta Adobe lukitsee kyseisen päivämäärän, kun se toimittaa 13.10. "Meille tämä on jatkuva prosessi", hän sanoi. "Työskentelemme asiakkaiden kanssa antamaan heille mahdollisimman paljon huomiota."

Hän sanoi, että tulevia päivityksiä voi olla myöhässä. "Suunnitelmamme on [julkaista päivitykset] joka neljäsosaa, ja jos tarvitsemme muutoksia ilmoitettuun aikatauluun, saat nämä uutiset saataville heti, kun voimme."

Tämä on hyvä idea, koska asiakkaat pitävät turvallisuutensa laastarit ovat mahdollisimman ennakoitavissa, McAfee Avert Labsin tietoturvapäällikkö David Marcus sanoo. "Ristiriitaisuus säännöllisessä korjaussyklissä ei ole vain yrityksille hyötyä."