Het bedrijf Trusteer, een webbeveiliginger met naar eigen zeggen 2,5 miljoen klanten in Noord-Amerika en Europa, heeft op basis van zijn cijfers een schatting gemaakt van hoeveel Adobe-software op clients verouderd is. De resultaten zijn schokkend te noemen.

De meest recente Adobe-patches zijn uitgebracht op 30 juli, en verhielp onder andere een gapend ATL-lek in de flash-software. Twee weken later was 79 procent van de Adobe Flash player-installaties en 83-procent Adobe Reader/Acrobat niet up-to-date. Vandaag de dag, zo bevestigt Trusteer, zijn die resultaten niet veel verbeterd: 65,7 procent van de Flash Player-installaties zijn niet up to date, en het cijfer voor Reader/Acrobat ligt op 79,2 procent geïnstalleerd maar niet geupdate. De lekken worden, zoals altijd het geval is met veelgebruikte software waar een update voor verschijnt, volgens Trusteer actief uitgebuit.

Kern van het probleem ligt volgens Mickey Boodaei, CEO van Trusteer, in het beleid dat Adobe erop na houdt. Het bedrijf doet elke maand een online-check of er updates beschikbaar zijn, en dan nog moet de gebruiker zelf actie ondernemen om de patch toe te passen. Bij andere applicaties vindt een dergelijke check plaats elke keer als het wordt opgestart.

De standaardsituatie moet volgens Trusteer zijn dat een patch automatisch wordt toegepast op het moment dat een gebruiker de software gebruikt. Voor bedrijven moeten tools beschikbaar zijn die dit soort automatische rollouts controleren en het mogelijk maken om de noodzakelijke tests uit te voeren. "Met het uitbrengen van een patch heb je nog niets, want de gebruikers zijn nog steeds kwetsbaar", zegt Boodaei tegenover SearchSecurity.com op het moment dat de eerste cijfers naar buiten kwamen.

Adobe laat tegenover Techworld weten dat ze al het mogelijke doen om de software geupdate te houden. "Gebruikers moeten de updates installeren om goed beschermd te zijn", zo schrijft een Adobe-woordvoerster in een mail aan Techworld. "We hebben verschillende stappen ondernomen om ervoor te zorgen dat klanten op de hoogte zijn van de patches en ze te helpen over te stappen op de laatste versies." Zo werkt het bedrijf innig samen om security-berichten te pushen via kanalen van derden (zoals Microsoft System Management Server en het Operation System van Linux), en ook om gebruikers bekend te laten zijn met de patches. Bron: Techworld