Net als Microsoft heeft Adobe de tweede dinsdag van de maand uitgekozen om zijn patches uit te brengen. Adobe doet dat alleen maar vier keer per jaar, niet maandelijks zoals Microsoft. Eigenlijk was het de bedoeling dat de patchronde vorige maand zou plaatsvinden, maar dat liep toen in het honderd omdat ze in juli zo druk waren met noodpatches.

Patch voor zero-day

Morgen is het dan weer zover. In de aankondiging stelt Adobe dat een van de updates een kritiek lek dicht in Reader en Acrobat 9.1.3 en ouder. Dat gat zou door hackers al actief worden uitgebuit. De patch is zowel voor Windows, Mac als Unix, maar voor zover bekend wordt het lek alleen gebruikt om Windows-machines aan te vallen.

Machines met Vista of Windows 7 waarop DEP staat aangeschakeld zijn overigens veilig. Aanwijzingen over hoe je DEP aanzet staan op de supportsite van Microsoft. Voor pc’s met XP suggereert Adobe om JavaScript uit te schakelen. Het lek laat wel toe dat er aanvallen worden uitgevoerd die niet op JavaScript steunen, maar het helpt wel tegen de exploit zoals die nu wordt gebruikt.

Kritiek op beleid

Het is alweer de vierde keer dat Adobe dit jaar in verlegenheid wordt gebracht door gaten in hun software die worden misbruikt. In maart verhielp het bedrijf eindelijk een lek dat al twee maanden actief werd misbruikt. In mei moest het weer een zero-day verhelpen en ook in juli was het raak. Ook toen waren de gaten al lang bekend. Het beveiligingsbeleid van Adobe wordt de laatste tijd dan ook behoorlijk bekritiseerd.

Bron: Techworld