DoSECU 安全报道 5月22日消息:美国东部5月21日,外媒报道。今年到现在为止已经有三起已知零日漏洞攻击网络的事件发生。自今年2月以来,Adobe公司对他们的软件研发流程做出了更改,计划从今年开始按季度进行升级。
今年2月,有消息称Adobe Reader和Acrobat存在零日攻击的漏洞已经是公开的秘密;今年4月又有两个漏洞被发现。这三个漏洞最终都打了补丁,但是每个漏洞的开发代码却开始传播。在2月发布的软件缺陷中,黑客至少在修正发行的两个月前就开始大肆利用这个软件漏洞,最初的补丁也没有覆盖到程序的所有版本。
自那以后,Adobe公司表示他们会更改软件研发流程来提高软件的安全性。计划主要关注三个主要领域:加强代码的严密性,改进事故反应流程,实施对Adobe Reader和Acrobat按季度进行升级的计划。
Adobe公司的产品安全和隐私保护事业部总监Brad Arkin表示"我们多年来多遵循着安全产品的生命周期流程,由此来定义该如何将安全与研发Adobe软件的常规方法相结合。对于我们的多数项目,特别是Reader和Acrobat,我们的安全产品生命周期活动主要是放在编写新的代码和特性上,没有完全照顾到遗留代码和特性中的潜在安全问题"。
这种想法基本上是将最佳实践拓展到了整个研发流程,比如风险建模和测试等。
Arkin补充说"所有这些活动将帮助我们发现潜在的安全问题,以便我们能在木马制造者或者其他恶意分子发现他们之前就加以解决"。
Arkin承认软件中必可避免的会出现一些漏洞,所以需要进行升级。从今年夏天开始,Adobe公司每季度都会发行补丁来应对任何安全问题。虽然公司仍然还在制定具体的时间表,不过总体规划的推出将与微软的Patch Tuesday相呼应。
Arkin表示"我们从用户处听说在同一天提供升级服务将帮助用户更方便的应用补丁"。
来自Qualys的统计数据显示许多Adobe Acrobat和Reader的用户都不能如期打好补丁,正如零日攻击在4月继续传播的新闻所言的那样。或许黑客经常利用这个漏洞针对Adobe Reader和Adobe Flash发动攻击,这也在意料之中。
Arkin称"自从2月我们开始这项工作以来,我们始终在公开讨论存在的问题,我们会进一步探讨具体的细节和新的想法来考虑如何更好的改进Reader和Acrobat的安全性,让产品更加安全的供用户使用"。