Windows

تصحيح العيوب الأمنية الحرجة في Adobe Reader و Acrobat

باحثون أمنيون: HTTPS ليس آمنًا كما يبدو دائمًا

باحثون أمنيون: HTTPS ليس آمنًا كما يبدو دائمًا
Anonim

كما تم الإعلان عنه سابقًا ، أصدرت شركة Adobe تحديثًا خارج النطاق لـ Reader و Acrobat يتناول نقاط الضعف التي تم الكشف عنها في مؤتمر أمان Black Hat في الشهر الماضي. تم تصنيف التحديث على أنه حرج ويجب تطبيقه على الفور على الأنظمة المتأثرة.

وفقًا لنشرة على مدونة فريق الاستجابة لحوادث الأمان في منتج Adobe (PSIRT) ، "تتناول التحديثات مشكلات الأمان الحرجة في المنتجات ، بما في ذلك CVE-2010 -2862 تمت مناقشته في مؤتمر الأمان الأخير في Black Hat USA 2010 ومواطن الضعف التي تم تناولها في تحديث Adobe Flash Player في 10 أغسطس كما هو موضح في نشرة الأمان APSB10-16. توصي Adobe المستخدمين بتطبيق التحديثات الخاصة بتثبيتات منتجاتهم. "

Adobe أيضًا شدد على أنه ليس على علم بأية مآثر في البرية لأي من القضايا التي تم تناولها في هذه النشرة الأمنية ، وأن هذا الإصدار لا يؤثر على تاريخ التحديث الفصلي المقرر التالي - والذي سيبقى في 12 أكتوبر 2010.

[المزيد من القراءة: كيفية إزالة البرامج الضارة من جهاز كمبيوتر يعمل بنظام Windows]

على ما يبدو ، لقد أخطأت نطاق دورة التحديث الفصلية في الماضي ، مع ذلك. اتصل بي متحدث باسم Adobe لتوضيح عملية Adobe ، موضحًا أن "دورة التحديث الفصلية خاصة بـ Adobe Reader و Acrobat. تعمل فرق منتجات Adobe الأخرى مع فريق Adobe Software Engineering الآمن (ASSET) لتقديم التحديثات حسب الاقتضاء - قد تختلف الدورات عن دورة التصحيح لـ Adobe Reader و Acrobat. "

علق Andrew Storms ، مدير العمليات الأمنية لـ nCircle ، على نشرة Adobe. "لقد حسنت Adobe بالتأكيد آلية إطلاقها. هذه المرة أرسلوا رسالة تفيد بأنهم سيقومون بتسليم رقعة خارج النطاق. لسوء الحظ ، منذ أول إعلان ، تم تغيير الموعد المحدد للإصدار ، تاركاً فرق أمن المؤسسات تخدش رؤساء ، "إضافة" عدم قدرة Adobe المبدئية على تقديم تاريخ إصدار دقيق يترك الكثير من المستخدمين يشعرون بالقلق حول دورة هندسة إصدارهم. "

العواصف تشعر أيضا أن التفاصيل والتوجيه من Adobe يترك قليلا إلى المستوى المطلوب" لا يزال أمامك طريق طويل في تقديم تفاصيل مفيدة مع نشراتها الأمنية ، خاصة بالمقارنة مع البائعين الآخرين ، وكالعادة ، تفتقر هذه المعلومات إلى التفاصيل المفيدة ومعلومات التخفيف.

كما لاحظت Storms ، مع ذلك ، فإن Adobe تتحسن. وعلق المتحدث باسم شركة Adobe قائلاً "نظرًا إلى الانتشار النسبي والتواجد عبر الأنظمة الأساسية للعديد من منتجاتنا ، وعلى وجه الخصوص عملائنا ، فقد اجتذبت Adobe - وستستمر على الأرجح في جذبها - زيادة الاهتمام من المهاجمين. ومع ذلك ، فإن Adobe تستخدم شركات رائدة في هذا المجال. وستبقى ممارسات وممارسات هندسة البرمجيات الأمنية في بناء منتجاتنا والاستجابة لقضايا الأمن ، وأمن عملائنا أولوية حاسمة لأدوبي. "

تنفيذ أداة تحديث في وقت سابق من هذا العام لأتمتة عمليات التصحيح لمنتجات Adobe بالإضافة إلى الجهود المبذولة لبناء المزيد من الإجراءات الأمنية مثل وضع الحماية في إصدارات المنتجات المستقبلية ، والجهود التي تبذلها Adobe بشكل مباشر مع Microsoft وبائعي الأمان الرئيسيين لتحسين أمان المنتجات وتقليل الوقت اللازم لتطوير الرقع الحرجة ، كل ذلك يبرهن على التزام Adobe بالأمان. > نأمل أن توفر Adobe في المستقبل المزيد من التفاصيل حول تفاصيل العيوب وكيف يمكن أن تكون p استغالل otentially ، فضلا عن التخفيفات التي يمكن أن تمنع الهجوم بدلا من تطبيق التحديث. يحتاج مسؤولو تكنولوجيا المعلومات إلى مثل هذه المعلومات للسماح بتحليل المخاطر بالشكل الملائم وتوفير وسائل بديلة للحماية من استغلال التطبيق المعلق للتحديث ، أو في الحالات التي لا يمكن فيها إصلاح نظام ما لسبب ما.

في الوقت الحالي ، أوصي بالتقدم يتم تحديث Adobe Reader و Acrobat و Flash لجميع الأنظمة الضعيفة قبل أن يتمكن مطورو البرامج الضارة من اللحاق بالركب وبدء استغلال هذه الثغرات الأمنية.

اتبع TechAudit على Twitter.