Patch Scramble Melempar Adobe Updates off Jadwal

Juli adalah bulan yang sulit bagi tim keamanan Adobe Systems. Sangat sulit, pada kenyataannya, bahwa rilis patch triwulanan perusahaan yang kedua akan tiba sebulan terlambat, kata kepala keamanan Adobe Kamis.

Pada bulan Juni, Adobe mengambil isyarat dari Microsoft, Oracle dan Cisco, dan mengatakan akan mulai mengirimkan pembaruan keamanan pada jadwal reguler yang dapat diprediksi. Meskipun sebagian besar perusahaan perangkat lunak menggelar tambalan secara ad hoc, pembaruan yang dapat diprediksi ini mempermudah pelanggan perusahaan untuk merencanakan bagaimana mereka meluncurkannya. Pada saat itu, Adobe mengatakan akan meluncurkan set patch berikutnya pada 8 September.

Tapi itu tidak terjadi. Itu karena alih-alih menyiapkan tambalan triwulanan, tim keamanan Adobe menghabiskan sebagian besar dari bulan Juli untuk memperbaiki dua masalah keamanan penting: satu yang berasal dari cacat pada perangkat lunak Microsoft ATL (Perpustakaan Template Aktif), dan yang lainnya cacat kritis dalam perangkat lunak Flash dan Reader-nya. yang sedang dieksploitasi dalam serangan cyber.

[Bacaan lebih lanjut: Bagaimana cara menghapus malware dari PC Windows Anda]

"Ketika kami melakukan latihan kebakaran pada bulan Juli, ketika kami sedang mengerjakan untuk mendapatkan patch mendesak dari siklus, yang berdampak pada siklus kami, "kata Brad Arkin, direktur Keamanan Produk dan Privasi.

Masalah ATL adalah masalah besar karena Adobe, seperti vendor perangkat lunak lainnya, harus menyisir kode sumbernya untuk melihat produk mana yang menggunakan komponen perpustakaan buggy. "Kami pergi dari triaging lebih dari 200 produk di dalam Adobe untuk mengevaluasi produk mana yang berpotensi rentan terhadap masalah header ATL, untuk mendapatkan pembaruan sesegera mungkin," kata Arkin.

Adobe telah membangun waktu ke dalam jadwal kuartalan untuk menangani pembaruan di luar siklus, tetapi tidak ada cukup waktu untuk menangani kedua masalah utama ini dan memperbarui kuartal ini. Jadi, bukannya rilis September, pembaruan kuartal berikutnya Adobe akan dirilis 13 Oktober, hari yang sama dengan rilis keamanan "Patch Tuesday" Microsoft untuk bulan itu.

Adobe bukan satu-satunya perusahaan yang bergerak di sekitar jadwal patch-nya. Pada hari Kamis, Oracle mengatakan akan terlambat seminggu dengan Kritis Patch Perbaruan berikutnya, sekarang diharapkan 20 Oktober. Oracle memindahkan tanggal sehingga rilis patch tidak akan berbenturan dengan konferensi Oracle OpenWorld tahunan perusahaan, yang diadakan 11-15 Oktober. di San Francisco.

Arkin berharap perusahaannya akan mengirimkan pembaruan berikutnya tiga bulan setelah Oktober, tetapi Adobe akan mengunci tanggal tersebut ketika mengirim patch 13 Oktober. "Bagi kami ini adalah proses yang berkelanjutan," katanya. "Kami bekerja sama dengan pelanggan untuk memberi mereka pemberitahuan sebanyak yang kami bisa."

Dia mengatakan itu mungkin bahwa pembaruan masa depan bisa ditunda juga. "Rencana kami adalah [merilis pembaruan] setiap kuartal, dan jika kami perlu mengubah jadwal yang dikomunikasikan, kami akan menyediakan berita itu sesegera mungkin."

Itu ide yang bagus, karena pelanggan menyukai keamanan mereka patch menjadi seperti yang diprediksi mungkin, menurut David Marcus, manajer penelitian keamanan dengan McAfee Avert Labs. "Inkonsistensi dalam siklus tambalan biasa tidak membantu perusahaan."