Adobe Reader 및 Acrobat의 치명적인 보안 결함

Adobe 제품 보안 사고 대응팀 (PSIRT) 블로그의 게시물에 따르면 "이 업데이트는 CVE-2010을 포함한 제품의 중요한 보안 문제를 해결합니다. 보안 게시판 APSB10-16에 언급 된 8 월 10 일 Adobe Flash Player 업데이트에서 언급 된 최근 Black Hat USA 2010 보안 컨퍼런스 및 취약점에서 논의 된 -2862 번 Adobe는 사용자가 제품 설치에 대한 업데이트를 적용 할 것을 권장합니다. "

Adobe 이 보안 게시판에서 언급 된 문제에 대해 야생에서 악용 사례를 발견하지 못했으며이 릴리스는 다음 예정된 분기 별 업데이트 날짜에 영향을 미치지 않습니다 (2010 년 10 월 12 일까지 남아 있음).

[추가 정보: Windows PC에서 멀웨어를 제거하는 방법]

분명히 과거의 분기 별 업데이트주기의 범위를 잘못 설명했습니다. 어도비 대변인은 "분기 별 업데이트주기는 Adobe Reader 및 Acrobat에만 해당되며, 다른 Adobe 제품 팀은 Adobe의 보안 소프트웨어 엔지니어링 팀 (ASSET)과 협력하여 적절하게 업데이트를 제공합니다.주기는 다를 수 있습니다. Adobe Reader 및 Acrobat의 패치주기 "라고 말했습니다.

nCircle의 보안 운영 이사 인 Andrew Storms는 Adobe 게시판에 댓글을 달았습니다. "어도비는 릴리스 메커니즘을 확실히 개선했다. 이번에는 대역 외 패치를 제공 할 것이라는 통신문을 보냈다. 첫 번째 발표 이후 릴리스의 정확한 날짜가 변경되어 엔터프라이즈 보안 팀이 며 "어도비가 정확한 출시일을 제공하지 못한다는 사실을 감안할 때 많은 사용자들이 릴리즈 엔지니어링 사이클에 대해 기분이 좋지 않다"고 덧붙였다.

폭풍은 또한 어도비의 세부 사항과 지침이 조금이라도 남아 있다고 느낀다. 특히 다른 공급 업체와 비교할 때 유용한 보안 정보를 제공하는 데 많은 시간을 할애 할 수 있습니다. 평소와 같이 유용한 세부 정보와 완화 정보가 부족합니다. "

스톰이 언급했듯이 Adobe는 개선되고 있습니다. 어도비 대변인은 "우리 제품 중 많은 부분, 특히 고객사의 상대적 편재성과 플랫폼 간 범위를 고려할 때 어도비는 매력을 느끼며 앞으로도 지속적으로 관심을 끌 것으로 보인다"며 "그러나 어도비는 업계 최고의 제품 개발 및 보안 문제 대응에 대한 보안 소프트웨어 엔지니어링 사례 및 프로세스와 고객의 보안은 Adobe에게 항상 중요한 우선 순위가 될 것입니다. "올해 초 Adobe 제품에 대한 패치를 자동화하는 업데이터 유틸리티 구현 향후 출시 될 제품에 대한 샌드 박싱과 같은 보안 조치를 강화하려는 노력과 Microsoft 및 주요 보안 업체와 직접 협력하여 제품 보안을 향상시키고 중요한 패치를 개발하는 데 소요되는 시간을 단축하려는 Adobe의 노력은 모두 Adobe의 보안 약속을 입증합니다.

앞으로 Adobe는 결함의 세부 사항과 그 결함에 대해 자세히 설명합니다. 업데이트를 적용하는 대신 공격을 방지 할 수있는 완화 조치뿐 아니라 악용 될 수도 있습니다. IT 관리자는 적절한 위험 분석을 허용하고 업데이트의 악용 대기중인 구현에 대비하거나 시스템을 어떤 이유로 패치 할 수없는 경우에 대비하여 대체 수단을 제공하기 위해 이러한 정보가 필요합니다.

현재, 맬웨어 개발자가 이러한 취약점을 악용하기 전에 모든 취약한 시스템에 대한 Adobe Reader, Acrobat 및 Flash 업데이트를 제공합니다.

트위터의 TechAudit을 따르십시오.