"Het lijkt nu alsof alle desktopapplicaties van Adobe onveilig zijn", vertelt Paul van Keeken, marketing manager bij Adobe Benelux, aan Webwereld. Ook in Nederland wordt er op blogs flink gereageerd, vertelt hij. Die "onterechte zorg" wil hij wegnemen, wat Adobe ook doet op het eigen blog.

Die zorg is ontstaan naar aanleiding van het kritische advies van SANS Institute. President Stephen Nortcutt van dat onafhankelijke beveiligingsinstituut stelt dat bedrijven Adobe-software moeten mijden of het gebruik ervan tot een minimum moeten beperken, omdat het een te groot risico is. Dat advies is afgegeven in het licht van recente - en inmiddels gedichte - gaten in de pdf-software en Flash-afspeelapplicatie van Adobe.

'Prijs van succes'

"Het gaat om de Adobe Reader en de Flash Player", benadrukt Van Keeken. "Die zijn nu eenmaal veelgebruikt en dus een aantrekkelijk doelwit. Dat is de prijs van succes", reageert hij. Bijvoorbeeld Photoshop zou niet kwetsbaar zijn. Hij erkent dat veel van Adobe's applicaties exportmogelijkheden hebben voor de pdf- en Flash-bestandsformaten.

Indien daarbij onderliggende componenten gedeeld zijn, kunnen die andere programma's ook kwetsbaar zijn voor die beveiligingsgaten. Dat is ook het geval voor Adobe-software met importmogelijkheden voor pdf- of Flash-bestanden. Die applicaties dienen lang niet altijd voor het direct openen van bestanden, wat bij browserplugins voor pdf en Flash wel het geval is.

Zo'n domino-effect ondervindt Microsoft nu ook met het recente gat in het ATL-component, dat via ontwikkelpakket Visual Studio in producten van derden terecht is gekomen. Daaronder bevindt zich ook weer software van Adobe. Beide bedrijven hebben al patches hiervoor uitgebracht.

Securityproces aangepast

"Wij hebben ook aanpassingen doorgevoerd in ons securityproces", vertelt Van Keeken. "Het gaat om hoe we omgaan met code, en met meldingen van kwetsbaarheden." Hij trekt de vergelijking met Microsoft die de interne ontwikkeling van code en patches daarvoor enkele jaren geleden flink aangepast.

De Windows-producent biedt dat tegenwoordig ook als 'advies' aan andere bedrijven, onder de naam Security Development Lifecycle (SDL). Van Keeken kan niet aangeven hoe groot de gelijkenis, of overlap, is met de aangepaste aanpak van Adobe. Die softwaremaker heeft een eigen ontwikkelmethodiek, Secure Product LifeCycle (SPLC), maar werkt wel samen met Microsoft op het gebied van veilig ontwikkelen.