Adobe Terkunci untuk Memperhatikan Kerentanan Keamanan

Adobe Systems, yang aplikasinya telah dihantam oleh peretas, sedang menyisir kode warisan untuk bug di produknya dan merencanakan rilis patch triwulan secara teratur, menurut pejabat keamanan top.

Langkah ini dilakukan setelah Adobe memperhatikan " perubahan signifikan dalam lansekap ancaman, "kata Brad Arkin, direktur untuk keamanan produk dan privasi di perusahaan, pada hari Rabu.

Adobe berencana untuk mengeluarkan patch setiap tiga bulan pada hari Selasa kedua setiap bulannya, hari yang sama dengan rilis Microsoft tambalannya, kata Arkin. Merilis tambalan bersama dengan Microsoft lebih mudah bagi administrator, yang dapat menguji perbaikan dari kedua perusahaan pada saat yang sama sebelum memperbarui gambar PC desktop.

[Bacaan lebih lanjut: Cara menghapus malware dari PC Windows Anda]

Adobe Reader dan perangkat lunak Acrobat digunakan untuk membuat dan membaca file PDF (Portable Document Format), yang merupakan format yang banyak digunakan untuk menyimpan halaman Web, membuat formulir dan untuk kegunaan lain.

Program juga menggunakan JavaScript, bahasa pemrograman yang jika tidak diimplementasikan dengan benar dapat memungkinkan peretas untuk membuat PDF yang memicu, misalnya, masalah korupsi memori yang dapat memungkinkan kontrol penuh atas komputer dan semua datanya.

Adobe telah memiliki siklus hidup pengembangan keamanan - satu set protokol untuk berurusan dengan masalah - setidaknya selama empat tahun. Tetapi karena Adobe telah mengembangkan Reader dan Acrobat, perusahaan tidak meninjau kode warisan lama untuk kerentanan keamanan, kata Arkin. Itu dilakukan sekarang.

Sejak Februari, Adobe telah mengeraskan kodenya dalam aplikasinya, kata Arkin. Itu termasuk melakukan otomatis serta tinjauan kode manusia. Adobe menggunakan "fuzzers," atau alat yang mencoba menyuntikkan kode ke aplikasi untuk melihat apakah ia menerima data yang seharusnya tidak.

Insinyur Adobe juga berlatih "pemodelan ancaman," di mana para insinyur mencoba untuk mencari tahu area di mana peretas berpotensi menyebabkan kerusakan dan menemukan kekurangan dalam kode sumber, kata Arkin.

Adobe ingin mempercepat waktu yang diperlukan untuk membuat patch ketika kerentanan diungkapkan, kata Arkin. Adobe membutuhkan waktu dua minggu untuk membuat patch untuk kerentanan JBIG2 yang terungkap sekitar akhir April. Bahwa "tidak secepat yang kita inginkan," katanya.

Arkin mengatakan Adobe berencana untuk merilis pembaruan patch triwulanan pertamanya dalam tiga hingga empat bulan ke depan, meskipun tanggal pastinya belum Sudah ditetapkan.

Rencana tinjauan keamanan intensif akan hampir permanen. "Kami tidak berpikir kami akan mencapai titik di mana itu selesai," kata Arkin. "Tidak ada produk yang benar-benar bebas dari kerentanan."