Patch Scramble supprime les mises à jour d'Adobe hors programme

Juillet a été un mois difficile pour l'équipe de sécurité d'Adobe Systems. En juin dernier, Adobe a annoncé que le deuxième correctif trimestriel de la société arriverait avec un mois de retard, a déclaré jeudi le chef de la sécurité d'Adobe.

En juin, Adobe a pris l'initiative de Microsoft, Oracle et Cisco mises à jour de sécurité sur un calendrier régulier et prévisible. Bien que la plupart des éditeurs de logiciels déploient des correctifs de manière ponctuelle, ces mises à jour prévisibles facilitent la planification de la mise en œuvre par les entreprises. À l'époque, Adobe a annoncé le déploiement de sa prochaine série de correctifs le 8 septembre.

Mais ce n'était pas le cas. Au lieu de préparer des correctifs trimestriels, l'équipe de sécurité d'Adobe a passé la majeure partie du mois de juillet à résoudre deux problèmes de sécurité critiques: l'un issu d'une faille dans le logiciel ATL (Active Template Library) de Microsoft et l'autre

[En savoir plus: Comment supprimer les logiciels malveillants de votre PC Windows]

"Lorsque nous avons eu l'exercice d'incendie en juillet, alors que nous travaillions à l'élimination de ce correctif urgent », a déclaré Brad Arkin, directeur de la sécurité des produits et de la vie privée.

Le problème d'ATL était important car Adobe, comme les autres fournisseurs de logiciels, devait passer en revue son code source pour voir quels produits utilisaient le composant de la bibliothèque buggy. «Nous avons trié plus de 200 produits à l'intérieur d'Adobe pour évaluer quels produits étaient potentiellement vulnérables au problème d'en-tête ATL, pour obtenir une mise à jour dès que possible», explique Arkin.

Adobe a ajouté du temps à son calendrier trimestriel mises à jour hors cycle, mais il n'y avait tout simplement pas assez de temps pour gérer ces problèmes majeurs et les mises à jour ce trimestre. Ainsi, au lieu d'une version de septembre, la prochaine mise à jour trimestrielle d'Adobe sera publiée le 13 octobre, le même jour que la version de sécurité "Patch Tuesday" de Microsoft pour ce mois-là.

Adobe n'est pas la seule entreprise à modifier son calendrier. Jeudi, Oracle a annoncé une semaine de retard avec sa prochaine mise à jour Critical Patch, attendue le 20 octobre. Oracle a déplacé la date afin que sa version de correctif ne soit pas en conflit avec la conférence annuelle Oracle OpenWorld du 11 au 15 octobre à San Francisco.

Arkin espère que sa société expédiera sa mise à jour suivante trois mois après Octobre, mais Adobe verrouillera cette date quand il expédie les correctifs du 13 octobre. "Pour nous, c'est un processus continu", a-t-il déclaré. "Nous travaillons avec les clients pour leur donner le plus de préavis possible."

Il a dit qu'il est possible que les futures mises à jour puissent également être retardées. "Notre plan est de [publier des mises à jour] chaque trimestre, et si jamais nous avons besoin de changer le calendrier communiqué, nous rendrons ces nouvelles disponibles dès que possible."

C'est une bonne idée car les clients apprécient leur sécurité Selon David Marcus, responsable de la recherche sur la sécurité chez McAfee Avert Labs, les correctifs doivent être aussi prévisibles que possible. "Incohérence dans un cycle de correctifs régulier n'est tout simplement pas utile pour les entreprises."