Patch Scramble rilascia aggiornamenti Adobe off Schedule

Luglio è stato un mese difficile per il team di sicurezza di Adobe Systems. Tanto difficile, infatti, che la seconda patch trimestrale della società arriverà con un mese di ritardo, ha detto giovedì il capo della sicurezza di Adobe.

A giugno, Adobe ha preso spunto da Microsoft, Oracle e Cisco, e ha detto che avrebbe iniziato a fornire aggiornamenti di sicurezza su una pianificazione regolare e prevedibile. Sebbene la maggior parte delle aziende di software distribuisca le patch su base ad hoc, questi aggiornamenti prevedibili rendono più facile per i clienti aziendali pianificare come vengono implementati. All'epoca, Adobe ha annunciato che avrebbe presentato il suo prossimo set di patch il 8 settembre.

Ma non era così. Questo perché, invece di preparare patch trimestrali, il team di sicurezza di Adobe ha trascorso gran parte del mese di luglio per risolvere due problemi di sicurezza critici: uno derivante da un difetto nel software ATL (Active Template Library) di Microsoft e l'altro un difetto critico nel suo software Flash e Reader che veniva sfruttato negli attacchi informatici.

[Ulteriori letture: Come rimuovere il malware dal PC Windows]

"Quando abbiamo avuto l'esercitazione antincendio a luglio, quando stavamo lavorando per rimuovere quella patch urgente da ciclo, che ha avuto un impatto sul nostro ciclo ", ha dichiarato Brad Arkin, direttore Product Security and Privacy.

Il problema ATL è stato un grosso problema perché Adobe, come altri produttori di software, ha dovuto analizzare il codice sorgente per vedere quali prodotti utilizzavano componente della libreria buggy. "Siamo passati dal triaging di oltre 200 prodotti all'interno di Adobe per valutare quali prodotti erano potenzialmente vulnerabili al problema dell'intestazione ATL, per ottenere un aggiornamento il più presto possibile", ha detto Arkin.

Adobe ha integrato il suo programma trimestrale per gestire aggiornamenti fuori ciclo, ma semplicemente non c'era abbastanza tempo per gestire entrambi questi importanti problemi e gli aggiornamenti di questo trimestre. Quindi, invece di una release di settembre, il prossimo aggiornamento di Adobe sarà rilasciato il 13 ottobre, lo stesso giorno della release di sicurezza Microsoft "Patch Tuesday" per quel mese.

Adobe non è l'unica azienda a spostarsi sulla programmazione delle patch. Giovedì, Oracle ha annunciato che ci vorrebbe una settimana di ritardo con il prossimo aggiornamento della patch critica, ora previsto per il 20 ottobre. Oracle ha spostato la data in modo che la sua versione patch non si scontrasse con la conferenza annuale Oracle OpenWorld della società, tenuta dall'11 al 15 ottobre a San Francisco.

Arkin spera che la sua azienda spedirà il suo aggiornamento successivo tre mesi dopo ottobre, ma Adobe chiuderà la data in cui spedisce le patch del 13 ottobre. "Per noi questo è un processo in corso", ha detto. "Stiamo lavorando con i clienti per dare loro il maggior preavviso possibile."

Ha detto che è possibile che anche gli aggiornamenti futuri possano essere ritardati. "Il nostro piano è di [rilasciare aggiornamenti] ogni trimestre e, se dovessimo cambiare il programma comunicato, renderemo le notizie disponibili al più presto possibile."

Questa è una buona idea, perché i clienti amano la loro sicurezza patch per essere il più prevedibile possibile, secondo David Marcus, responsabile della ricerca sulla sicurezza con McAfee Avert Labs. "L'incoerenza di un ciclo di patch regolare non è di aiuto alle imprese".