De nu verschenen patches voor de 9- en 8-reeks van Adobe's Reader- en Acrobat-software dicht een recordaantal van maar liefst 29 beveiligingsgaten. Één daarvan wordt al actief misbruikt door malwaremakers, heeft Adobe zelf ook al aangegeven.

Bèta-testprogramma

Naast de reparatie van gaten voert de softwaremaker meteen ook een nieuwe updatetool door. Het betreft een bètaversie, die aanvankelijk nog niet geactiveerd is. "We brengen dit samen met de patches naar eindgebruikers zodat we dit kunnen opvolgen met een extern bèta-testprogramma dat exclusief is op basis van uitnodigingen", blogt productmanager Steve Gottwals van Adobe.

"Hoewel de nieuwe updater in een 'passieve staat' leveren, kunnen we het selectief activeren voor gebruikers die uitgenodigd worden voor het bèta-programma. Dat stelt ons in staat te testen voor diverse netwerkconfiguraties die er op internet zijn, om een robuuste update te kunnen garanderen."

Nieuwe updater

De nieuwe updatetool moet vaker controleren op patches en die ook geautomatiseerd downloaden en installeren. Het huidige updatemechanisme voor Adobe's PDF-software controleert 1 keer in de 7 dagen of 1 keer in de maand. De eerste optie is de standaardinstelling, de tweede kan door de gebruiker worden ingesteld in de relatief verborgen updatetool.

Het is nog niet bekend wanneer Adobe de bèta-test wil uitvoeren, hoe lang die duurt en wanneer daarna de definitieve versie wordt uitgerold en geactiveerd. "We zullen relevante details blijven delen over de nieuwe updater, inclusief het moment waarop wij het gaan activeren voor alle gebruikers", meldt productmanager Gottwals. Geïnteresseerde gebruikers kunnen zich aanmelden op zijn blog.

Zwarte lijst voor JavaScript

Verder neemt Adobe meer security-maatregelen. De interface is nu aangepast met de 9- en 8-updates (versie 9.2 en 8.1.7) voor Reader en Acrobat zodat security-instellingen beter vindbaar zijn. Dit omvat onder meer een 'gouden' informatiebalk bovenaan documenten, die ook instructies biedt voor eenmalig of permanent toestaan van JavaScript voor PDF-documenten. Deze aanpassing moet ook het beveiligingsbesef van eindgebruikers verhogen.

Daarnaast implementeert Adobe nu een zwarte lijst voor malafide JavaScript-code. Dat biedt de mogelijkheid JavaScript-api's selectief te blokkeren, zodat bij een specifieke exploit niet JavaScript in z'n geheel uitgeschakeld hoeft te worden. De blokkeeroptie is beschikbaar voor zowel eindgebruikers als beheerders, waarbij instelling door laatstgenoemde de eerste buiten spel zet.

Onder vuur

Adobe ligt al geruime tijd onder vuur, van zowel malwaremakers als security-experts en gebruikers. Geregeld komen er grote beveiligingsgaten aan het licht in de veelgebruikte PDF- en Flash-software van het bedrijf. Vervolgens neemt de softwareproducent nogal eens de tijd om met patches te komen. Firefox-maker Mozilla heeft al een eigen beveiligingscontrole op Flash ingebouwd in zijn browser.

Eerder dit jaar heeft het dan ook besloten patches voortaan op regelmatige basis, elk kwartaal, uit te brengen. Dat is de eerste keer gelukt, maar de tweede keer niet; ironisch genoeg vanwege noodpatches. De nu uitgebrachte updates zijn de derde kwartaalpatch van Adobe.

In augustus kwam het bedrijf nog met de mededeling dat zijn betaalde, veel minder gebruikte software wel veilig is. Dat was in reactie op een oproep van het gerenommeerde beveiligingsinstituut SANS om Adobe-software te mijden. De PDF- en Flash-applicaties zijn een te groot beveiligingsrisico, oordeelt SANS.