Adobe debería ser más proactivo con respecto a la seguridad

Adobe lanzará un parche de emergencia, que se espera dentro de dos semanas, para tapar una falla de seguridad en Adobe Reader, la última de una serie de vulnerabilidades recientes del programa. El problema es que esta falla se encontró a través de una presentación en la conferencia Black Hat la semana pasada, y no por el equipo de seguridad de Adobe.

¿Quizás Adobe debería poner al presentador, Charlie Miller, un analista con evaluadores de seguridad independientes, en la nómina? Tal vez entonces puede volverse proactivo en lugar de reactivo para satisfacer las necesidades de sus clientes.

La presentación de Miller, basada en su libro blanco, ilustra cómo el error permite que un nero-do-bien obtenga el control de una computadora explotando un Falla crítica en cómo Adobe Reader analiza las fuentes en formato de documento portátil (PDF).

[Lectura adicional: cómo eliminar el malware de su PC con Windows]

También se conoce como un "desbordamiento de entero en CoolType.dll en Adobe Reader" 8.2.3 y 9.3.3, y Acrobat 9.3.3, "de acuerdo con la Base de Datos Nacional de Vulnerabilidades del Departamento de Seguridad Nacional. Eso significa que un PDF malicioso con una fuente TrueType secretamente codificada puede usarse para hackear su computadora.

¿Es este último error simplemente un incidente desafortunado? Tal vez no. El visor de PDF de Adobe tuvo problemas de seguridad el mes pasado, y la respuesta de Adobe fue decirle a los usuarios que esperaran una actualización a fin de año. (Hasta ahora, Adobe ha lanzado cuatro parches para Acrobat y Reader este año.)

Añada a esto los numerosos errores en Flash Player de Adobe, y puede ver el punto de Steve Jobs de que tiene "uno de los peores registros de seguridad, "y puede causar muchos dolores de cabeza a las empresas.

En este punto, no estoy seguro de que Adobe pueda ganarse los corazones y las mentes de los gerentes o dueños de negocios después de tantos defectos de seguridad. Sin embargo, al menos esta vez Adobe parece estar trabajando en un parche de emergencia en lugar de sugerir a sus usuarios que esperen la próxima actualización trimestral, convirtiendo a sus clientes en una prioridad en lugar de una ocurrencia posterior. Aún así, tal vez Adobe debería mirar más hacia la seguridad consultores como Miller que no están atrincherados en la compañía. Aunque estoy seguro de que sus trabajadores son competentes y trabajadores, las empresas pueden sufrir de pensamiento grupal, según el cual las personas se ajustan a valores y ética grupal, y están menos dispuestos a ofrecer críticas o alternativas.

Sin embargo, la solución inmediata de Adobe a este problema es proporcionar un servicio al cliente esencial. Esperemos que haya menos fallas de seguridad debido a eso, y que Adobe siga demostrando cuánto valora a sus clientes, con una protección proactiva y completa contra el malware.

Para los dueños de negocios que desean expulsar Adobe Reader por completo, hay varios gratuitos. Lectores de PDF en el mercado sin tantos problemas de seguridad, incluidos Foxit Reader o Nuance PDF Reader.

En cuanto a los riesgos asociados con Adobe Flash, los administradores de TI pueden bloquear Flash en los navegadores Firefox y Google Chrome, y asegurarse de que la empresa tenga Web -filtrado de software que puede bloquear conocidos sitios web maliciosos.