Adobe dovrebbe essere più proattivo sulla sicurezza

Adobe rilascerà una patch di emergenza, prevista entro due settimane, per collegare un difetto di sicurezza in Adobe Reader, l'ultimo di una serie di vulnerabilità recenti del programma. Il problema è che questa debolezza è stata trovata attraverso una presentazione alla conferenza Black Hat della scorsa settimana, e non dal team di sicurezza di Adobe.

Forse Adobe dovrebbe mettere sul libro paga il presentatore, Charlie Miller, un analista con Independent Security Evaluators? Forse allora può diventare proattivo piuttosto che reattivo nel soddisfare le esigenze dei suoi clienti.

La presentazione di Miller, basata sul suo white paper, illustra come il bug consenta a un neer-do-well di prendere il controllo di un computer sfruttando un problema critico nel modo in cui Adobe Reader analizza i font in formato di documento portatile (PDF).

[Ulteriori letture: Come rimuovere malware dal PC Windows]

È anche noto come "overflow intero in CoolType.dll in Adobe Reader 8.2.3 e 9.3.3, e Acrobat 9.3.3, "secondo il National Vulnerability Database del Dipartimento della Sicurezza Nazionale degli Stati Uniti. Ciò significa che un PDF dannoso con un carattere TrueType codificato in segreto può essere utilizzato per violare il computer.

Questo ultimo bug è solo uno sfortunato incidente? Forse no. Il visualizzatore PDF di Adobe ha avuto problemi di sicurezza lo scorso mese e la risposta di Adobe è stata quella di dire agli utenti di attendere un aggiornamento alla fine dell'anno. (Finora, Adobe ha rilasciato quattro patch per Acrobat e Reader quest'anno.)

Aggiungi a questo i numerosi bug di Adobe Flash Player, e puoi vedere il punto di Steve Jobs che ha "uno dei peggiori record di sicurezza, "e può causare un sacco di mal di testa alle aziende.

A questo punto, non sono sicuro che Adobe possa conquistare i cuori e le menti di manager o titolari di aziende dopo così tanti problemi di sicurezza. Tuttavia, almeno questa volta Adobe sembra lavorare su una patch di emergenza piuttosto che suggerire ai suoi utenti di attendere il prossimo aggiornamento trimestrale, rendendo i client una priorità piuttosto che un ripensamento.

Tuttavia, forse Adobe dovrebbe guardare più alla sicurezza consulenti come Miller che non sono trincerati nell'azienda. Mentre sono sicuro che i suoi lavoratori sono competenti e laboriosi, le aziende possono soffrire di pensiero di gruppo, per cui le persone si conformano ai valori e all'etica del gruppo e sono meno disposte a offrire critiche o alternative.

Tuttavia, la soluzione immediata di Adobe a questo problema è fornire un servizio clienti essenziale. Speriamo che ci siano meno difetti di sicurezza a causa di ciò, e che Adobe continui a mostrare quanto apprezzi i suoi clienti, con una protezione proattiva e completa contro il malware.

Per i proprietari di aziende che vogliono espellere completamente Adobe Reader, ci sono diversi liberi Lettori PDF sul mercato senza tanti problemi di sicurezza, tra cui Foxit Reader o Nuance PDF Reader.

Per quanto riguarda i rischi associati a Adobe Flash, i responsabili IT possono bloccare Flash su browser Firefox e Google Chrome e assicurarsi che l'azienda abbia Web -filtering software che può bloccare noti siti Web dannosi.