Adobe tłumaczy się z opóźnień w łataniu
- securitystandard,
- 21.12.2009, godz. 07:08
Firma Adobe ściągnęła ostatnio na siebie krytykę specjalistów ds. bezpieczeństwa - zapowiadając, że poważna, wykryta niedawno luka w zabezpieczeniach Acrobata i Readera zostanie załatana dopiero w połowie stycznia. Przedstawiciele Adobe tłumaczą jednak, że nie mieli wyjścia - ponieważ opublikowanie teraz poprawki prawdopodobnie opóźniłoby kolejne - ważne dla firmy i jej klientów - uaktualnienie.
Dlatego też zamiast poprawki koncern opublikował jedynie instrukcję, jak tymczasowo zabezpieczyć swoje produkty - tak, by do 12 stycznia (na ten dzień zaplanowano udostępnienie łatki) Acrobat i Reader nie były podatne na atak. Chodzi tu o błąd, który już co najmniej od dwóch tygodni jest wykorzystywany przez przestępców do atakowania użytkowników Adobe - pisaliśmy o tym w tekście "Adobe znów ma problem - luka "zero-day" w Acrobacie i Readerze".
"Mogliśmy zrobić tylko jedną z dwóch rzeczy - albo udostępnić patcha przygotowanego na szybko, poza naszym standardowym cyklem łatania produktów, albo poczekać z udostępnieniem go do 12 stycznia, czyli dnia w którym opublikujemy większe uaktualnienie. Problem w tym, że to pierwsze rozwiązanie odciągnęłoby naszych pracowników od pracy nad zaplanowaną poprawką i prawdopodobnie spowodowałoby opóźnienie - co najmniej do lutego. Innej możliwości nie było." - tłumaczy Brad Arkin, szef działu bezpieczeństwa Adobe.
Zdaniem Arkina, to rozsądna decyzja - choćby dlatego, że sugerowane przez firmę użytkownikom rozwiązanie tymczasowe (tzn. wyłączenie obsługi skryptów JavaScript) jest skuteczne i łatwe do przeprowadzenia. "Warto dodać, że pierwszy raz użyliśmy do tego celu funkcji JavaScript Blacklist - nasze testy wykazały, że to rozwiązanie jest w pełni skuteczne i bez problemu blokuje wszystkie wykorzystywane przez przestępców exploity" - tłumaczy przedstawiciel Adobe.
Arkin dodał też, że firma konsultowała się w tej sprawie z wieloma korporacyjnymi klientami - ich przedstawiciele rekomendowali ponoć Adobe przygotowanie jednej poprawki zamiast dwóch (ponieważ to wygodniejsze rozwiązanie dla działów IT). Co więcej - przedstawiciele firm deklarowali w rozmowach z Adobe, że nawet gdyby poprawka pojawiła się przed świętami, to prawdopodobnie i tak nie zostałaby wdrożona wcześniej niż 4 stycznia.
Warto przypomnieć, że w maju 2009 r. koncern Adobe znacząco zreformował proces udostępniania poprawek - po tym, jak firma została ostro skrytykowana przez specjalistów ds. bezpieczeństwa za powolne i nieprzewidywalne publikowanie uaktualnień dla swoich produktów. Firma zobowiązała się wtedy do przyspieszenia prac nad łatkami i do udostępniania ich w regularnym cyklu - raz na kwartał. "To dodatkowy czynnik, który miał znaczenie podczas podejmowania decyzji o poczekaniu z poprawką. Gdyby problem pojawił się na miesiąc czy dwa przed planowanym udostępnieniem kolejnego pakietu łat, to pewnie bylibyśmy skłonni udostępnić "awaryjną" poprawkę. Ale termin opublikowania kolejnego zestawu jest już bliski - więc wolimy poczekać" - dodaje Brad Arkin.
Przedstawiciele Adobe zdecydowanie zaprzeczył też plotkom, jakby firma po prostu nie była w stanie przygotować teraz poprawki - choć przyznał jednocześnie, że Adobe nie ma specjalnego zespołu programistów, którzy zajmowaliby się jedynie przygotowaniem uaktualnień.
Dodajmy, że w styczniowym pakiecie poprawek dla produktów Adobe znajdą się łatki usuwające zarówno błędy wykryte pod koniec listopada, jak i kilka innych, nieznanych wcześniej luk. Koncern nie podał na razie, ile dokładnie błędów zamierza załatać - Brad Arkin powiedział jedynie, że będzie ich mniej niż w październiku (13.X.2009 Adobe załatał 29 błędów w swoich aplikacjach).