Adobe esegue lo snap sulle vulnerabilità legate alla sicurezza

Adobe Systems, le cui applicazioni sono state colpite duramente dagli hacker, sta passando il codice legacy per i bug nei suoi prodotti e pianifica una regolare patch release trimestrale, secondo un alto funzionario della sicurezza.

La mossa arriva dopo che Adobe ha notato " cambiamenti significativi nel panorama delle minacce ", ha dichiarato Brad Arkin, direttore per la sicurezza dei prodotti e la privacy dell'azienda, mercoledì.

Adobe prevede di emettere patch ogni tre mesi il secondo martedì del mese, lo stesso giorno in cui Microsoft rilascerà le sue toppe, disse Arkin. Il rilascio di patch in tandem con Microsoft è più semplice per gli amministratori, che possono testare le correzioni di entrambe le società contemporaneamente prima di aggiornare le immagini del PC desktop.

[Ulteriori letture: Come rimuovere malware dal PC Windows]

Adobe Reader e il software Acrobat viene utilizzato per creare e leggere file PDF (Portable Document Format), che è il formato più utilizzato per salvare pagine Web, creare moduli e per altri usi.

I programmi utilizzano anche JavaScript, un linguaggio di programmazione che se non implementato correttamente può consentire agli hacker di creare PDF che attivano, ad esempio, un problema di corruzione della memoria che può consentire il controllo completo di un computer e tutti i relativi dati.

Adobe ha avuto un ciclo di vita per lo sviluppo della sicurezza - un set di protocolli per affrontare i problemi - per almeno quattro anni. Ma come Adobe ha sviluppato Reader e Acrobat, la società non ha rivisto il vecchio codice legacy per le vulnerabilità della sicurezza, ha detto Arkin. Lo sta facendo ora.

Da febbraio, Adobe sta indurendo il suo codice nelle sue applicazioni, ha detto Arkin. Ciò ha incluso l'esecuzione di revisioni automatizzate e di codici umani. Adobe utilizza "fuzzers" o strumenti che tentano di iniettare codice in un'applicazione per vedere se accetta dati che non dovrebbero.

Gli ingegneri di Adobe stanno anche praticando la "modellazione delle minacce", dove gli ingegneri cercano di capire le aree in cui gli hacker Arkin ha detto che potrebbe potenzialmente causare malizia e trovare difetti nel codice sorgente, ha detto Arkin.

Adobe vuole accelerare il tempo necessario per creare una patch quando viene rivelata una vulnerabilità. Ad Adobe sono occorse due settimane per trovare una patch per la vulnerabilità JBIG2 rivelata verso la fine di aprile. "Non è stato veloce come avremmo voluto che fosse", ha detto.

Arkin ha detto che Adobe prevede di rilasciare il suo primo aggiornamento patch trimestrale entro i prossimi tre o quattro mesi, anche se la data esatta non ha

I piani di revisione intensiva della sicurezza saranno quasi permanenti. "Non pensiamo che colpiremo un punto in cui è stato fatto", ha detto Arkin. "Nessun prodotto sarà completamente privo di vulnerabilità."