Patch Scramble lanza actualizaciones de Adobe fuera de Schedule

Julio fue un mes difícil para el equipo de seguridad de Adobe Systems. Tan duro, de hecho, que el segundo parche trimestral de la compañía llegará con un mes de retraso, dijo el jueves el jefe de seguridad de Adobe.

En junio, Adobe tomó nota de Microsoft, Oracle y Cisco, y dijo que comenzaría a entregar actualizaciones de seguridad en un horario regular y predecible. Aunque la mayoría de las compañías de software implementan parches ad hoc, estas actualizaciones predecibles facilitan que los clientes empresariales planifiquen cómo implementarlas. En ese momento, Adobe dijo que lanzaría su próxima serie de parches el 8 de septiembre.

Pero no fue así. Eso es porque en lugar de preparar parches trimestrales, el equipo de seguridad de Adobe pasó la mayor parte de julio luchando para solucionar dos problemas críticos de seguridad: uno derivado de un defecto en el software ATL (Active Template Library) de Microsoft y el otro un error crítico en su software Flash y Reader que estaba siendo explotado en ciberataques.

[Más información: cómo eliminar el malware de su PC con Windows]

"Cuando tuvimos el simulacro de incendio en julio, cuando estábamos trabajando para quitar ese parche urgente de ciclo, que impactó nuestro ciclo ", dijo Brad Arkin, director de Seguridad y Privacidad del Producto.

El tema ATL fue un gran problema porque Adobe, al igual que otros proveedores de software, tuvo que revisar su código fuente para ver qué productos usaban. componente de biblioteca con errores. "Pasamos de probar más de 200 productos dentro de Adobe para evaluar qué productos eran potencialmente vulnerables al problema del encabezado ATL, para obtener una actualización lo más pronto posible", dijo Arkin.

Adobe ha incorporado tiempo en su agenda trimestral para manejar actualizaciones fuera del ciclo, pero simplemente no hubo tiempo suficiente para manejar estos problemas importantes y las actualizaciones de este trimestre. Por lo tanto, en lugar de un lanzamiento en septiembre, la próxima actualización trimestral de Adobe se lanzará el 13 de octubre, el mismo día que el lanzamiento de seguridad "Patch Tuesday" de Microsoft para ese mes.

Adobe no es la única compañía que sigue su programa de parches. El jueves, Oracle dijo que llegaría una semana tarde con su próxima actualización de parche crítico, que ahora se espera para el 20 de octubre. Oracle movió la fecha para que su parche no chocara con la conferencia anual OpenWorld de Oracle, que se realizó del 11 al 15 de octubre. en San Francisco.

Arkin espera que su compañía envíe su actualización posterior tres meses después de octubre, pero Adobe bloqueará esa fecha cuando envíe los parches el 13 de octubre. "Para nosotros, este es un proceso continuo", dijo. "Estamos trabajando con los clientes para darles la mayor notificación posible".

Dijo que es posible que las futuras actualizaciones también se retrasen. "Nuestro plan es [publicar actualizaciones] cada trimestre, y si alguna vez necesitamos cambiar el horario comunicado, pondremos esas noticias a nuestra disposición tan pronto como podamos".

Es una buena idea, porque a los clientes les gusta su seguridad los parches son lo más predecibles posible, según David Marcus, gerente de investigación de seguridad de McAfee Avert Labs. "La inconsistencia en un ciclo de parche regular simplemente no es útil para las empresas".