Errores críticos en la revisión del parche en Adobe Reader y Acrobat

Como se anunció previamente, Adobe lanzó una actualización fuera de banda para Reader y Acrobat que aborda las vulnerabilidades reveladas en la conferencia de seguridad Black Hat el mes pasado. La actualización se califica como crítica y debe aplicarse inmediatamente a los sistemas afectados.

Según una publicación del blog del Equipo de respuesta a incidentes de seguridad de productos de Adobe (PSIRT), "las actualizaciones resuelven problemas críticos de seguridad en los productos, incluido CVE-2010 -2862 discutido en la reciente conferencia de seguridad y vulnerabilidades de Black Hat USA 2010 tratada en la actualización de Adobe Flash Player del 10 de agosto como se señala en el Boletín de seguridad APSB10-16. Adobe recomienda que los usuarios apliquen las actualizaciones para sus instalaciones de productos. "

Adobe también hizo hincapié en que no tiene conocimiento de ningún exploit en la naturaleza para ninguno de los problemas abordados en este boletín de seguridad, y que este lanzamiento no afecta la fecha de la próxima actualización trimestral programada, que permanece el 12 de octubre de 2010.

[Más información: cómo eliminar el malware de su PC con Windows]

Aparentemente, he tergiversado el alcance del ciclo de actualización trimestral en el pasado. Un vocero de Adobe se puso en contacto conmigo para aclarar el proceso de Adobe, explicando que "el ciclo de actualización trimestral es específico de Adobe Reader y Acrobat. Otros equipos de productos de Adobe trabajan con el Equipo de Ingeniería de Software Seguro de Adobe (ASSET) para entregar actualizaciones según corresponda; los ciclos pueden ser diferentes de el ciclo de revisión para Adobe Reader y Acrobat. "

Andrew Storms, Director de operaciones de seguridad de nCircle, comentó el boletín de Adobe. "Adobe definitivamente ha mejorado su mecanismo de lanzamiento. Esta vez enviaron una comunicación indicando que entregarían un parche fuera de banda. Desafortunadamente, desde el primer anuncio, la fecha exacta para el lanzamiento ha cambiado, dejando a los equipos de seguridad de la empresa arañando su agrega, "la incapacidad inicial de Adobe para proporcionar una fecha de lanzamiento exacta deja a muchos usuarios sintiéndose mal por su ciclo de ingeniería de lanzamiento".

Storms también siente que los detalles y la guía de Adobe dejan un poco que desear "Adobe todavía tiene un largo camino por recorrer para proporcionar detalles útiles con sus boletines de seguridad, especialmente en comparación con otros proveedores. Como de costumbre, este carece de detalles útiles e información de mitigación ".

Como notó Storms, Adobe está mejorando. El portavoz de Adobe comentó: "dada la ubicuidad relativa y el alcance multiplataforma de muchos de nuestros productos, en particular de nuestros clientes, Adobe ha atraído -y probablemente seguirá atrayendo- una atención cada vez mayor por parte de los atacantes. Sin embargo, Adobe emplea soluciones líderes en la industria. las prácticas y procesos de ingeniería de software de seguridad para construir nuestros productos y responder a problemas de seguridad, y la seguridad de nuestros clientes siempre serán una prioridad crítica para Adobe. "

La implementación a principios de este año de una utilidad de actualización para automatizar el parcheo de productos de Adobe, combinados con esfuerzos para construir más medidas de seguridad como sandboxing en futuros lanzamientos de productos, y los esfuerzos de Adobe trabajando directamente con Microsoft y los principales proveedores de seguridad para mejorar la seguridad del producto y reducir el tiempo requerido para desarrollar parches críticos demuestran el compromiso de Adobe con la seguridad.

Esperemos que en el futuro Adobe proporcione más detalles sobre los detalles de los defectos y cómo pueden p potencialmente explotados, así como mitigaciones que pueden prevenir un ataque en lugar de aplicar la actualización. Los administradores de TI necesitan dicha información para permitir un análisis de riesgos adecuado y para proporcionar medios alternativos de protección contra la explotación pendiente de implementación de la actualización, o en casos donde un sistema no puede ser parchado por alguna razón.

Por ahora, te recomiendo aplicar las actualizaciones de Adobe Reader, Acrobat y Flash para todos los sistemas vulnerables antes de que los desarrolladores de malware se pongan al día y comiencen a explotar estas vulnerabilidades.

Siga TechAudit en Twitter.