Het bedrijf Trusteer, een webbeveiliger met naar eigen zeggen 2,5 miljoen klanten in Noord-Amerika en Europa, heeft op basis van zijn cijfers een schatting gemaakt van hoeveel Adobe-software op clients verouderd is. De resultaten zijn schokkend te noemen.

De meest recente Adobe-patches zijn uitgebracht op 30 juli, en verhielp onder andere een gapend ATL-lek in de flash-software. Adobe was al zeven maanden op de hoogte van de kwetsbaarheid.

Het lek was voor het beveiligingsorgaan SANS Institute reden om bedrijven op te roepen om PDF- en Flash-software van Adobe te mijden.

Nog steeds ongepatcht

Nu blijkt bovendien dat de patches zeer traag worden verspreid, waardoor de overgrote meerderheid van internetgebruikers nog steeds kwetsbaar is. Twee weken na de patchdag was 79 procent van de Adobe Flash player-installaties en 83-procent Adobe Reader/Acrobat niet up-to-date.

Vandaag de dag, zo bevestigt Trusteer desgevraagd, zijn die resultaten niet veel verbeterd: 65,7 procent van de Flash Player-installaties zijn niet up to date, en het cijfer voor Reader/Acrobat ligt op 79,2 procent geïnstalleerd maar niet geupdate. De lekken worden, zoals altijd het geval is met veelgebruikte software waar een update voor verschijnt, volgens Trusteer actief uitgebuit.

Maandelijkse check

Kern van het probleem ligt volgens Mickey Boodaei, CEO van Trusteer, in het beleid dat Adobe erop na houdt. Het bedrijf doet elke maand een online-check of er updates beschikbaar zijn, en dan nog moet de gebruiker zelf actie ondernemen om de patch toe te passen. Bij andere applicaties vindt een dergelijke check plaats elke keer als het wordt opgestart.

De standaardsituatie moet volgens Trusteer zijn dat een patch automatisch wordt toegepast op het moment dat een gebruiker de software gebruikt. Voor bedrijven moeten tools beschikbaar zijn die dit soort automatische rollouts controleren en het mogelijk maken om de noodzakelijke tests uit te voeren. "Met het uitbrengen van een patch heb je nog niets, want de gebruikers zijn nog steeds kwetsbaar", zegt Boodaei tegenover SearchSecurity.com op het moment dat de eerste cijfers naar buiten kwamen.

Aanpassingen

Adobe heeft nog geen reactie gegeven op het rapport van Trusteer. Recentelijk meldde het softwarebedrijf wel dat het reeds aanpassingen heeft doorgevoerd in zijn patchbeleid.

Bron: Techworld.nl