एडोब रीडर और एक्रोबैट में पैच क्रिटिकल सिक्योरिटी फॉल्स

जैसा कि पहले घोषित किया गया था, एडोब ने रीडर और एक्रोबैट के लिए आउट-ऑफ-बैंड अपडेट जारी किया है जो पिछले महीने ब्लैक हैट सुरक्षा सम्मेलन में भेजी गई भेद्यताओं को संबोधित करता है। अद्यतन को क्रिटिकल के रूप में रेट किया गया है और इसे तुरंत प्रभावित सिस्टम पर लागू किया जाना चाहिए।

एडोब प्रोडक्ट सिक्योरिटी इंकेंटेंट रिस्पॉन्स टीम (पीएसआईआरटी) ब्लॉग पर एक पोस्ट के मुताबिक, "अपडेट सीवीई -2010 सहित उत्पादों में महत्वपूर्ण सुरक्षा मुद्दों को संबोधित करते हैं। -2862 ने हाल ही में ब्लैक हैट यूएसए 2010 सुरक्षा सम्मेलन और कमजोरियों में 10 अगस्त एडोब फ्लैश प्लेयर अपडेट में सुरक्षा बुलेटिन एपीएसबी 10-16 में उल्लेख किया है। एडोब ने सिफारिश की है कि उपयोगकर्ता अपने उत्पाद प्रतिष्ठानों के लिए अपडेट लागू करें। "

एडोब जोर देकर कहा कि यह सुरक्षा सुरक्षा बुलेटिन में संबोधित किसी भी मुद्दे के लिए जंगली में किसी भी शोषण से अवगत नहीं है, और यह रिलीज अगले निर्धारित तिमाही अद्यतन की तारीख को प्रभावित नहीं करता है - जो 12 अक्टूबर, 2010 तक रहता है।

[आगे पढ़ें: अपने विंडोज पीसी से मैलवेयर कैसे निकालें]

जाहिर है, मैंने अतीत में तिमाही अद्यतन चक्र के दायरे को गलत तरीके से गलत किया है। एक एडोब प्रवक्ता ने एडोब की प्रक्रिया को स्पष्ट करने के लिए मुझसे संपर्क किया, "तिमाही अद्यतन चक्र एडोब रीडर और एक्रोबैट के लिए विशिष्ट है। अन्य एडोब उत्पाद टीम एडोब की सिक्योर सॉफ्टवेयर इंजीनियरिंग टीम (एएसएसईटी) के साथ काम करने के लिए उपयुक्त हैं - चक्र अलग-अलग हो सकते हैं एडोब रीडर और एक्रोबैट के लिए पैच चक्र। "

एनसीर्कल के लिए सुरक्षा संचालन निदेशक एंड्रयू तूफान ने एडोब बुलेटिन पर टिप्पणी की। "एडोब ने निश्चित रूप से अपने रिलीज तंत्र में सुधार किया है। इस बार उन्होंने एक संचार भेजा जिसमें कहा गया था कि वे एक ऑफ-बैंड बैंड पैच देंगे। दुर्भाग्य से, पहली घोषणा के बाद, रिलीज की सही तिथि बदल गई है, जिससे एंटरप्राइज़ सुरक्षा टीमों ने खरोंच कर दिया है हेड, "एडोब की सटीक रिलीज डेट प्रदान करने में प्रारंभिक अक्षमता में बहुत से उपयोगकर्ताओं को उनके रिलीज इंजीनियरिंग चक्र के बारे में क्यूसी महसूस हो रही है।"

तूफान यह भी महसूस करते हैं कि एडोब से विवरण और मार्गदर्शन वांछित होने के लिए थोड़ा छोड़ देता है "एडोब अभी भी उनके सुरक्षा बुलेटिन के साथ विशेष रूप से अन्य विक्रेताओं की तुलना में उपयोगी विवरण प्रदान करने का एक लंबा सफर तय है। सामान्य रूप से, इसमें उपयोगी विवरण और शमन जानकारी की कमी होती है। "

जैसे तूफानों ने नोट किया, हालांकि, एडोब सुधार रहा है। एडोब प्रवक्ता ने टिप्पणी की "हमारे कई उत्पादों की रिश्तेदार सर्वव्यापीता और क्रॉस-प्लेटफार्म पहुंच को देखते हुए, विशेष रूप से हमारे ग्राहकों, एडोब ने आकर्षित किया है - और हमलावरों से बढ़ते ध्यान को आकर्षित करना जारी रहेगा। हालांकि, एडोब उद्योग-अग्रणी हमारे उत्पादों के निर्माण और सुरक्षा मुद्दों के जवाब में सुरक्षा सॉफ्टवेयर इंजीनियरिंग प्रथाओं और प्रक्रियाओं, और हमारे ग्राहकों की सुरक्षा हमेशा एडोब के लिए एक महत्वपूर्ण प्राथमिकता होगी। "

एडोब उत्पादों के लिए पैचिंग स्वचालित करने के लिए एक अद्यतनकर्ता उपयोगिता के इस वर्ष के शुरू में कार्यान्वयन, भविष्य में उत्पाद रिलीज में सैंडबॉक्सिंग जैसे अधिक सुरक्षा उपायों के निर्माण के प्रयासों के साथ संयुक्त, और एडोब के प्रयासों को उत्पाद सुरक्षा में सुधार करने और महत्वपूर्ण पैच विकसित करने के लिए आवश्यक समय को कम करने के लिए सीधे माइक्रोसॉफ्ट और प्रमुख सुरक्षा विक्रेताओं के साथ काम करने के प्रयासों से सभी सुरक्षा के लिए एडोब की प्रतिबद्धता का प्रदर्शन करते हैं।

उम्मीद है कि भविष्य में एडोब त्रुटियों के विनिर्देशों के बारे में अधिक जानकारी प्रदान करेगा और वे कैसे पी कर सकते हैं औपचारिक रूप से शोषण किया जा सकता है, साथ ही साथ कमजोर पड़ने वाले जो अद्यतन को लागू करने के बदले हमले को रोक सकते हैं। आईटी प्रशासकों को उचित जोखिम विश्लेषण की अनुमति देने और अद्यतन के लंबित कार्यान्वयन के शोषण के खिलाफ सुरक्षा के वैकल्पिक साधन प्रदान करने के लिए ऐसी जानकारी की आवश्यकता होती है, या ऐसे मामलों में जहां किसी कारण से सिस्टम को पैच नहीं किया जा सकता है।

अभी के लिए, मैं आपको सलाह देता हूं कि आप आवेदन करें मैलवेयर डेवलपर्स पकड़ने से पहले और इन भेद्यताओं का शोषण शुरू करने से पहले सभी कमजोर सिस्टमों के लिए एडोब रीडर, एक्रोबैट और फ्लैश अपडेट।

ट्विटर पर TechAudit का पालन करें।