Correções de segurança críticas no Adobe Reader e Acrobat

Como anunciado anteriormente, a Adobe lançou uma atualização fora de banda para o Reader e o Acrobat, que aborda as vulnerabilidades reveladas na conferência de segurança da Black Hat no mês passado. A atualização é classificada como Crítica e deve ser aplicada imediatamente aos sistemas afetados.

De acordo com uma postagem no blog PSIRT (Equipe de resposta a incidentes de segurança de produtos da Adobe), "As atualizações abordam problemas críticos de segurança nos produtos, incluindo CVE-2010 -2862 discutido na recente conferência de segurança Black Hat USA 2010 e nas vulnerabilidades abordadas na atualização do Adobe Flash Player de 10 de agosto, conforme observado no Boletim de segurança APSB10-16. A Adobe recomenda que os usuários apliquem as atualizações para suas instalações de produtos. ressaltou que não tem conhecimento de quaisquer explorações na natureza para qualquer um dos problemas abordados neste boletim de segurança, e que esta divulgação não afeta a data da próxima atualização trimestral programada - que permanece em 12 de outubro de 2010.

[Outras leituras: Como remover malwares do seu PC com Windows]

Aparentemente, no entanto, apresentei o escopo do ciclo de atualização trimestral no passado. Um porta-voz da Adobe contatou-me para esclarecer o processo da Adobe, explicando que "o ciclo de atualização trimestral é específico para o Adobe Reader e Acrobat. Outras equipes de produtos da Adobe trabalham com a Equipe de Engenharia de Software Segura da Adobe (ASSET) para distribuir atualizações conforme apropriado. o ciclo de patches para o Adobe Reader eo Acrobat. "

Andrew Storms, diretor de operações de segurança da nCircle, comentou o boletim da Adobe. "A Adobe definitivamente melhorou seu mecanismo de lançamento. Desta vez, eles enviaram uma comunicação informando que entregariam um patch fora da banda. Infelizmente, desde o primeiro anúncio, a data exata do lançamento mudou, deixando as equipes de segurança corporativa coçando suas cabeças ", adicionando" incapacidade inicial da Adobe para fornecer uma data de lançamento exato deixa um monte de usuários sentindo enjoado sobre seu ciclo de engenharia de lançamento ".

Storms também sente que os detalhes e orientações da Adobe deixam um pouco a desejar" Adobe ainda tem um longo caminho a percorrer ao fornecer detalhes úteis com seus boletins de segurança, especialmente em comparação com outros fornecedores. Como de costume, este não tem detalhes úteis e informações de mitigação. "

Como Storms observou, a Adobe está melhorando. O porta-voz da Adobe comentou que "dada a onipresença relativa e o alcance multiplataforma de muitos de nossos produtos, em especial de nossos clientes, a Adobe atraiu - e provavelmente continuará a atrair - maior atenção dos invasores. No entanto, a Adobe emprega práticas e processos de engenharia de software de segurança na construção de nossos produtos e na resposta a problemas de segurança, e a segurança de nossos clientes sempre será uma prioridade crítica para a Adobe. "

A implementação no início deste ano de um utilitário atualizador para automatizar o patch para produtos Adobe Combinando esforços para criar mais medidas de segurança, como sandbox, em futuros lançamentos de produtos, e os esforços da Adobe trabalhando diretamente com a Microsoft e os principais fornecedores de segurança para melhorar a segurança do produto e reduzir o tempo necessário para desenvolver patches críticos, demonstram o compromisso da Adobe com a segurança. > Espero que, no futuro, a Adobe forneça mais detalhes sobre as especificidades das falhas e como elas podem ser explorado otimamente, bem como mitigações que podem impedir ataques em vez de aplicar a atualização. Os administradores de TI precisam dessas informações para permitir uma análise adequada dos riscos e fornecer meios alternativos de proteção contra exploração pendente da implementação da atualização ou nos casos em que um sistema não pode ser corrigido por algum motivo.

Por enquanto, recomendo que você aplique o Adobe Reader, o Acrobat e o Flash atualizam para todos os sistemas vulneráveis ​​antes que os desenvolvedores de malware o acompanhem e comecem a explorar essas vulnerabilidades.

Siga o TechAudit no Twitter.