Adobe og Microsoft: Hvorfor vente til siste øyeblikk?

La oss starte med Adobe. Dette er andre gang på under ett år at Adobe er under pistolen for å fikse store svakheter i flere av produktene deres. Det første problemet startet i februar 2009. I innlegget mitt Adobe Alert: Oppdateringer tilgjengelig for siste utnyttelse på null dager beskrev jeg problemet:

"Et kritisk sårbarhet er identifisert i Adobe Reader 9 og Acrobat 9 og tidligere versjoner. Dette sikkerhetsproblemet vil føre til at applikasjonen krasjer og kan potensielt tillate en angriper å ta kontroll over det berørte systemet. Det rapporteres at dette problemet utnyttes. "

Programvareproblemet plaget meg ikke; Dessverre er vi vant til buggy programvare. Det som bekymret meg var at Adobe trengte en måned for å fikse noe de visste om i nesten syv måneder og allerede ble utnyttet. Selvfølgelig tilbød de den vanlige midlertidige løsningen ved å deaktivere JavaScript. Adobe foreslo også at Acrobat og Reader ble oppgradert til sine siste respektive versjoner.

Ikke en god løsning

Adobes forslag innebar at systemadministratorer trengte å besøke alle datamaskiner under deres kontroll og deaktivere JavaScript i Adobe Acrobat og Reader. Når patchene ble gitt ut, måtte de deretter gå til hvert system igjen, aktivere JavaScript og sørge for at den nye løsningen ble installert.

Det måtte jeg gjøre med kundene mine; å ikke finne en måte å automatisere prosessen på (Vet noen om det er mulig?). Det tok omtrent 15 minutter per maskin. Det er ikke det jeg vil kalle en rimelig løsning.

Déjà vu-tid for Adobe

Bare forrige uke (22. jul. 2009) innrømmet Adobes responssong for produktsikkerhetshendelser motvillig at nok en gang mange av produktene deres var sårbare for en nulldagers utnyttelse. Takket være iDefense Tweet visste jeg at det var et problem dagen før.

Dagen etter (23. juli 2009) la Adobe ut en bulletin som bekrefter problemet. Det var en svakhet i Flash, så Flash Player ble lagt til listen over truede applikasjoner sammen med Acrobat og Reader. Det var da sikkerhetseksperter begynte å bli maltsyke. Jeg fanget ganske raskt på meg selv og prøvde å anslå hvor mange millioner nettsteder som bruker Flash.

Adobe gjorde sin vanlige ting, og antydet at Flash-applikasjoner ble deaktivert til en løsning kan rulles ut (30. juli 2009). Jeg går ikke gjennom hele den trinnvise prosessen jeg gjorde for den første Adobe-sårbarheten. Jeg er sikker på at alle forstår at det er en tidkrevende prosess.

Noe urovekkende

De tekniske mediene gjorde en god jobb med å forklare detaljene, og som jeg antydet tidligere, er jeg fokusert på noe annet. Faktisk har du kanskje allerede gjettet hva. Men la oss først sammenfatte:

  • Denne nye sårbarheten har blitt utnyttet til en trussel på 0 dager.
  • Det er millioner av sårbare datamaskiner som kan subverteres av skadelig Flash-innhold som er innebygd i PDF-filer og eller nettsteder.

Å, nevnte jeg at Adobe visste om dette problemet for snart syv måneder siden? Greg Keizer bemerket det faktum i sitt ComputerWorld-innlegg:

"En sikkerhetsforsker sa imidlertid Adobes egen databasesporingsdatabase viser at selskapet har visst om sårbarheten i nesten syv måneder."

Jeg forstår at det kreves en viss tid for å finne ut hva jeg skal gjøre, men syv måneder? Kanskje det er en grunn til å ta så lang tid. I så fall håper jeg Adobe vil fortelle oss det. På annen måte kommer jeg til å være mistenksom, spesielt siden jeg venter så lenge på å løse dette problemet, setter millioner av datamaskiner og lojale brukere i fare.

Adobes oppdateringsproblemer

Med alle problemene deres, skulle man håpe at Adobes oppdateringssystem var skuddsikkert. Det er tydeligvis ikke tilfelle. Adobes oppdateringsprosess har faktisk mye å være ønsket.

Adobes Reader 9.1 er for eksempel den nyeste versjonen du kan laste ned. Likevel er koden utdatert. Av en eller annen grunn er ikke flere av de siste rettelsene inkludert i nedlastingen av applikasjonen. Det krever at du kjører oppdatereren en gang til. Jeg mistenker at det ikke er noe mange vet om.

Å ikke ha den nyeste versjonen som nedlasting er bare ett av Adobes problemer. Det ser ut til at Adobe-applikasjoner bare ser etter oppdateringer en gang i uken. Selv om Adobe slipper oppdateringer, kan det derfor være opptil syv dager før Reader eller Acrobat ser etter dem. Det er ikke bra med kjente nulldagsutnyttelser.

Microsofts tur

Microsoft er langt fra uskyldig når det gjelder å vite sårbarheter som finnes, men klarer likevel ikke å gjøre noe med det. En som umiddelbart kommer til tankene er MS08-067 og Conficker. Vi vet alle hvordan det viste seg.

Vi er vitne til et annet eksempel på at Microsoft venter til siste øyeblikk akkurat nå. I nesten ett år valgte Microsoft å se bort fra advarsler fra sikkerhetsforskere. Så nå skynder utviklere hos Microsoft å gi ut patcher for problemer i Visual Studio og Internet Explorer. For å bevise poenget mitt at Microsoft visste om minst ett av sårbarhetene, sender jeg CVE-2008-0015 som bevis.

Microsoft forteller ikke

Sannheten skal sies, det er ikke helt klart hva Microsoft prøver å fikse. De holder veldig stille om det. Noen eksperter mener at en av de utenpå båndplasterne kan reparere reparasjonen som angivelig løste ActiveX-problemet.

Andre eksperter sier at Microsoft også prøver å holde seg foran kurven. Årets Black Hat-konferanse starter denne uken, og et av seminarene har tittelen: The Language of Trust: Exploiting Trust Relationships in Active Content. Tilfeldighet eller ikke, emnet er nært knyttet til hva Microsoft prøver å fikse.

Siste tanker

Jeg håper Adobe og Microsoft har gode grunner for ikke å fikse problemene sine på rett tid. Systemadministratorer og brukere over hele verden må nå justere allerede stramme tidsplaner og budsjetter for å installere ut-av-band-oppdateringer.

© Copyright 2020 | mobilegn.com