Corriger des failles de sécurité critiques dans Adobe Reader et Acrobat

Comme annoncé précédemment, Adobe a publié une mise à jour hors bande pour Reader et Acrobat qui corrige les vulnérabilités révélées lors de la conférence de sécurité de Black Hat le mois dernier. La mise à jour est critique et doit être appliquée immédiatement aux systèmes concernés.

Selon un article publié sur le blog de l'équipe d'intervention d'incident Adobe Product Security, les mises à jour corrigent des problèmes de sécurité critiques dans les produits, notamment CVE-2010. -2862 discuté lors de la récente conférence sur la sécurité de Black Hat USA 2010 et les vulnérabilités abordées dans la mise à jour Adobe Flash Player du 10 août, comme indiqué dans le bulletin de sécurité APSB10-16, Adobe recommande aux utilisateurs d'appliquer les mises à jour pour leurs installations. Il a souligné qu'il n'est au courant d'aucun exploit dans la nature pour les problèmes abordés dans ce bulletin de sécurité, et que cette diffusion n'a aucune incidence sur la date de la prochaine mise à jour trimestrielle prévue - le 12 octobre 2010.

[Lectures supplémentaires: Comment faire pour supprimer les logiciels malveillants de votre PC Windows]

Apparemment, j'ai mal indiqué la portée du cycle de mise à jour trimestrielle dans le passé, cependant. Un porte-parole d'Adobe m'a contacté pour clarifier le processus d'Adobe, expliquant que «le cycle de mise à jour trimestriel est spécifique à Adobe Reader et Acrobat.» D'autres équipes produits Adobe collaborent avec l'équipe d'ingénierie logicielle sécurisée d'Adobe (ASSET). le cycle de correction pour Adobe Reader et Acrobat. "

Andrew Storms, directeur des opérations de sécurité pour nCircle, a commenté le bulletin Adobe. "Adobe a nettement amélioré son mécanisme de publication, mais cette fois-ci, il a envoyé une communication indiquant qu'il fournirait un correctif hors-bande Malheureusement, depuis la première annonce, la date exacte de la publication a changé. "L'incapacité initiale d'Adobe à fournir une date de sortie précise laisse beaucoup d'utilisateurs se sentir mal à propos de leur cycle d'ingénierie."

Storms pense aussi que les détails et les conseils d'Adobe laissent un peu à désirer "Adobe a beaucoup de chemin à faire pour fournir des détails utiles avec leurs bulletins de sécurité, en particulier par rapport à d'autres fournisseurs.Comme d'habitude, celui-ci manque de détails utiles et d'informations d'atténuation. "

Cependant, Adobe s'améliore. Le porte-parole d'Adobe a déclaré: «compte tenu de l'omniprésence relative et de la portée multiplateforme de plusieurs de nos produits, en particulier de nos clients, Adobe a attiré - et continuera probablement d'attirer - une attention croissante des attaquants. les pratiques et les processus d'ingénierie logicielle de sécurité pour construire nos produits et répondre aux problèmes de sécurité, et la sécurité de nos clients sera toujours une priorité critique pour Adobe. "

L'implémentation en début d'année d'un utilitaire de mise à jour pour les correctifs Les efforts d'Adobe pour travailler directement avec Microsoft et les principaux fournisseurs de solutions de sécurité afin d'améliorer la sécurité des produits et de réduire le temps requis pour développer des correctifs critiques démontrent l'engagement d'Adobe en matière de sécurité.

J'espère que dans le futur, Adobe fournira plus de détails sur les spécificités des défauts et comment ils peuvent p ottimement être exploité, ainsi que des atténuations qui peuvent empêcher l'attaque au lieu d'appliquer la mise à jour. Les administrateurs informatiques ont besoin de ces informations pour permettre une analyse des risques appropriée et fournir d'autres moyens de se prémunir contre l'exploitation en attendant la mise à jour, ou dans les cas où un système ne peut pas être corrigé pour une raison quelconque. Adobe Reader, Acrobat et Flash sont mis à jour pour tous les systèmes vulnérables avant que les développeurs de logiciels malveillants ne rattrapent et ne commencent à exploiter ces vulnérabilités.

Suivez TechAudit sur Twitter.