jueves, 21 de mayo de 2009

Adobe se compromete a mejorar su política de seguridad

Durante los últimos meses la sucesión de graves vulnerabilidades, exploits 0-day y críticas vertidas hacía la política de seguridad de Adobe han sido determinantes para que la compañía tome medidas al respecto.

A ello habría que sumar el auge en el uso del formato pdf y flash por los creadores de malware, los cuales contribuyeron aun más a una percepción negativa hacia los productos de la compañía. Incluso se llegó a promocionar el uso de alternativas a Reader frente a la incapacidad manifiesta de ofrecer una respuesta rápida.

De aquí a tres meses comenzará a aplicar un ciclo de publicación de actualizaciones de seguridad igual al de Microsoft, es decir, los segundos martes de cada mes y fuera de ese ciclo aquellas que por su importancia o gravedad precisen de una actuación inmediata y liberación en el menor tiempo posible. Además se liberarán de manera simultanea para todas las versiones y no de forma escalonada desde la más reciente a la más antigua como hasta ahora venía siendo la norma.

Aunque ya contaba con un plan de mantenimiento de seguridad y buenas prácticas de programación, Adobe va a reorientar la perspectiva desde el programador hacia el atacante, esforzándose en encontrar las vulnerabilidades antes de que sean descubiertas y explotadas, pasando, sin omitirla, de una programación defensiva (también necesaria, cuando no vital) a una investigación activa.

Adobe se une así a Microsoft, Oracle y Cisco en una coincidencia intencionada en el ciclo de parches, pudiendo darse el caso de una alineación cronológica de gigantes que se intuye los administradores de sistemas van a señalar en sus respectivos calendarios.


David García
dgarcia@hispasec.com


Más información:

Adobe - ASSET
http://blogs.adobe.com/asset/2009/05/adobe_reader_and_acrobat_secur.html

No hay comentarios:

Publicar un comentario en la entrada