今年2月,Adobe因未能及时修复其广受欢迎的PDF浏览器的零日漏洞而备受抨击。今天,Adobe承诺将根除旧代码中的漏洞,加快修补程序,并为adobereader和Acrobat定期发布安全更新。
三个月前,Adobe因未能及时修复其广受欢迎的PDF浏览器的零日漏洞而遭到炮轰。今天,Adobe承诺将根除旧代码中的漏洞,加快修补程序,并为adobereader和Acrobat定期发布安全更新。
今年2月,Adobe受到了猛烈抨击暴露了一个关键漏洞阿金(Brad Arkin)承认,正是由于这个原因,Adobe才重新审视了自己的安全措施。
“起初,这只是我们的另一起普通安全事件,”阿金说。“但它最终扩大了规模,用Reader和Acrobat对我们的安全做法(做出了)改变。”
Arkin说,这个项目于今年2月启动,分为三个部分,首先是查看Reader和Acrobat中的遗留代码,他把这些代码称为“风险区域”。
目前,Adobe在其所谓的安全产品生命周期(SPCL)下开发新代码,这种方法类似于微软更为人所知的软件开发生命周期(SDL),它涉及几个特定于安全的步骤,程序员要通过这些步骤来降低软件存在缺陷的可能性。Arkin说,从现在开始,Adobe也将把SPCL方法应用到Reader和Acrobat的一些老版本上。
“我们要广泛地观察整个应用程序,但集中在高危地区,在那里我们会威胁建模、静态代码分析,寻找潜在的漏洞,“阿金说,他拒绝称之为改变一个成熟的“代码审查,”微软花了数百万的根除缺陷在Windows XP。
他承诺:“我们将做更多积极主动的工作。”“我们希望摆脱松散的弱点。”
阿金表示,Adobe还将加快修补程序,并更频繁地与用户沟通。今年2月,该公司因为花了三周时间修复已经被利用的漏洞而遭到一些人的抨击,而且只针对Reader和Acrobat 9;Adobe将其他版本的补丁交付时间推迟了几个星期。一个补丁不同的零日漏洞阿金表示,Adobe本月发布的新版本是迈向更快步伐的第一步。他说:“我们能够在5月12日打补丁,并在同一天给Reader和Acrobat的所有版本打补丁,这是令人鼓舞的。”
Adobe也将模仿微软,不仅采用常规的补丁交付计划,而且会在与微软同一天发布补丁。Arkin说:“以前,我们根据需要做补丁。“但现在我们将(每季度)提供一次,并在每个月的第二个星期二提供。我们客户的反馈表明,这更符合他们的流程。”
Arkin拒绝详细说明每季度Reader和Acrobat安全更新的启动日期,只是说它们将在今年夏天的某个时候启动。
然而,有一些事情Adobe是不会做的。安全改进项目只涉及Reader和Acrobat, Adobe不会考虑在这两个应用程序中禁用JavaScript。最近的两个零日漏洞都涉及到JavaScript, Adobe建议用户暂时关闭JavaScript,直到有补丁可用。
“不,我们不会在默认情况下禁用JavaScript,”Arkin今天回答说。“对于我们的企业客户来说,JavaScript是一个非常重要的特性。”相反,他反驳说,其他措施会在保留JavaScript的同时产生更安全的代码。他说:“代码加固工作将确保JavaScript的使用尽可能安全。”
“在过去的6到12个月里,恶意软件攻击用户电脑的方式发生了变化,”Arkin在解释Adobe为何觉得有必要改进其安全流程时表示。
不可否认,黑客正在利用Adobe的漏洞。根据芬兰安全公司F-Secure的数据,在今年进行的所有有目标的攻击中,有48.9%的补丁涉及恶意PDF文件附加到看似合法的电子邮件,这与2008年相比有很大的变化,当时PDF文件仅占有目标攻击的28.6%。
nCircle网络安全公司的安全运营主管安德鲁·斯道姆经常批评Adobe的做法,他对这些举措表示欢迎,但还没有准备好为Adobe鼓掌。
“证据将在六个月左右,”斯道姆说,“当我们看到结果的时候。”我们会看到更少的bug,更少的Reader零日吗?布丁中总会有证据。但另一家供应商采取措施更好地保护他们的客户,这是值得欢迎的。”
Arkin在Adobe的安全博客上写了一篇文章,详细介绍了该公司的安全问题新发现的读者安全信仰.
这篇文章“面临批评,Adobe重新考虑PDF安全”最初是由《计算机世界》 .