159492

Adobe will Patch Day einführen

22.05.2009 | 15:17 Uhr |

Nachdem Adobe viel Kritik an seiner Strategie zur Produktsicherheit einstecken musste, will der Hersteller Updates in Zukunft regelmäßig an einem festen Datum bereit stellen, parallel zum Microsoft Patch Day.

Adobe will seine Sicherheitsstrategie anpassen und regelmäßig Updates bereit stellen. Das soll vierteljährlich am zweiten Dienstag eines Monats geschehen. Kundenbefragungen hätten ergeben, dass besonders Unternehmen einen gemeinsamen Termin mit dem Microsoft Patch Day favorisieren. Adobe will seine PDF-Produkte, Reader und Acrobat, nach altem, fehlerhaftem Code durchforsten und die Fehler abstellen.

Brad Arkin, Direktor für Produktsicherheit bei Adobe, erläutert im Unternehmens-Blog die neue Strategie . Sie soll an drei Stellen angreifen: der Code soll gehärtet, also sicherer werden; die Reaktion auf Sicherheitsvorfälle soll besser werden; es soll regelmäßige Updates an fixen Terminen geben.

Als problematisch erkannte Teilbereiche der Quelltexte von Adobe Reader und Acrobat sollen gründlich untersucht werden, um Fehler auszuräumen. Ähnlich wie Microsofts Security Development Lifecycle (SDL) soll der Adobe Secure Product Lifecycle (SPLC) Fehler und potenzielle Sicherheitslücken intern aufspüren und beseitigen helfen, bevor Dritte sie entdecken und ausnutzen.

Die Reaktionszeiten auf veröffentlichte Sicherheitsprobleme sollen verkürzt werden. Auch die Kommunikation mit den Kunden werde verbessert, verspricht Arkin. Das bislang letzte Update am 12. Mai sei ein gutes Beispiel, obwohl das Problem mitten im Erneuerungsprozess aufgetaucht sei. Adobe habe binnen zwei Wochen Updates für die gemeldeten Sicherheitslücken ausgeliefert. Es seien immerhin 29 Update-Pakete für 17 Versionen von Adobe Reader und Acrobat in 32 Sprachen für die Plattformen Windows, Mac OS X und Unix bereit gestellt worden.

Dieses Update hat auch bereits am gleichen Tag wie Microsofts Patch Day stattgefunden, ebenso das vorherige Sicherheits-Update im März. Das sei jedoch eher zufällig gewesen, schreibt Arkin. Von Sommer an will Adobe Software-Aktualisierungen quartalsweise am Microsoft Patch Day liefern. Es soll jedoch auch weiterhin Sicherheits-Updates außerhalb des Turnus geben. Wird eine Sicherheitslücke für Angriffe ausgenutzt, will Adobe so schnell wie möglich Updates bereit stellen und sie nicht etwa bis zum nächsten regulären Termin zurück halten.

0 Kommentare zu diesem Artikel
159492