Adobe overweegt maandelijkse patchdag
Gepubliceerd: Woensdag 26 mei 2010
Auteur: Tom Sanders
Adobe kijkt naar een maandelijkse publicatie van patches. De zet komt na een dramatisch beveiligingsjaar en moet het patchproces meer voorspelbaar maken.
Dat zegt Brad Arkin in een interview met Webwereld. Arkin is binnen Adobe verantwoordelijk voor de veiligheid van producten en privacy. Hij benadrukt daarbij dat de firma nog geen definitief besluit heeft genomen.
Adobe geeft patches voor Flash en Acrobat Reader nu nog eenmaal per 3 maanden vrij, waarbij de firma aansluit op de 'patch dinsdag' van Microsoft op de tweede dinsdag van de maand. Stoplappen voor overige producten, waar onder bijvoorbeeld Shockwave of Create Suite worden vrijgegeven zodra ze beschikbaar zijn.
Voordeel voor systeembeheerders
Met een maandelijks patch-regime zou Adobe volledig aansluiten op de routine van Microsoft. De firma verwacht dat vooral systeembeheerder daarvan zullen profiteren. "Het Microsoft model is erg vertrouwd," vertelt Arkin. "Organisaties hebben inmiddels geleerd wat goed werkt in dat model."
Hoewel Adobe overweegt om patches vaker vrij te geven, benadrukt Arkin dat een product als Adobe reader niet elke maand zal worden voorzien van een update. "Als we al overstappen op een maandelijkse patch-cyclus, betekent dat niet dat we elk jaar 12 patches voor Adobe Reader beschikbaar zullen stellen. Maar we willen meer voorspelbaar zijn en transparantie bieden voor onze gebruikers."
Te Langzaam patchen
Het patch-beleid van Adobe kwam vorig jaar sterk onder vuur te liggen. De firma zou nieuwe patches te langzaam ontwikkelen en onvoldoende transparant communiceren, en dat leidde tot diverse pijnlijke incidenten, waarbij criminelen beveiligingsgaten in Flash of Reader gebruikten voor bijvoorbeeld phishing aanvallen.
Volgens Arkin is de populariteit van Adobe onder online criminelen het gevolg van een bredere trend, waarbij aanvallen zich meer op applicaties richten en minder op besturingssystemen zoals Windows. Adobe is daarbij een aantrekkelijk doelwit om dat Flash en Reader op een zeer groot aantal systemen draaien, en dus veel slachtoffers kunnen maken. "Andere software heeft niet dezelfde aandacht [van aanvallers] gekregen. Maar dat betekent nog niet dat die veiliger is," stelt de manager.
