Adobe entra de lleno en el mundo de las actualizaciones de seguridad
programadas solucionando en este ciclo nada menos que 29 problemas de
seguridad en su software más popular: los lectores y editores de PDF
Adobe Reader y Acrobat. Rivaliza con Microsoft, que en este ciclo ha
resuelto también 34 fallos.
Los administradores de sistemas deben andar todavía ocupados intentando
actualizar sus productos Microsoft y Adobe. Adobe emitió en mayo un
comunicado por el que se comprometía a mejorar su política de seguridad.
Básicamente, decía que mejoraría el código de desarrollo centrándose en
la seguridad, que mejoraría los procesos de respuesta a incidentes, y
que programaría regularmente las actualizaciones de sus productos. En
concreto, cada tres meses, lo segundos martes de cada mes. Con un
criterio discutible, coincidiría con los días de actualización que
hace años eligió Microsoft.
Estas promesas recuerdan inevitablemente a la Trustworthy Computing que
Microsoft tuvo que implantar a principios de 2002 (a través de un
comunicado del propio Bill Gates) para intentar encarar los continuos
reveses en seguridad que sufría. Se puso en marcha la Strategic
Technology Protection Program (STPP) que más tarde daría sus frutos en
proyectos que se han demostrado eficaces como el Windows Software Update
Services, Microsoft Operations Manager, la política de actualización
periódica, sistemas fortificados "por defecto", etc. Aun así lo peor
estaría por llegar en 2003 con Blaster, pero eso ya pertenece a la
"prehistoria", y los esfuerzos de Microsoft comenzaron a dar resultados
años después.
Adobe acaba de publicar uno de sus primeros ciclos de actualizaciones
con nada menos que 29 vulnerabilidades resueltas. Entre ellas la que
estaba siendo aprovechada por atacantes desde hace semanas, y que
permitía la ejecución de código arbitrario a través de archivos PDF
especialmente manipulados. El mismo día Microsoft corregía 34, pero
en una mucha mayor gama de productos.
Adobe comienza así a mejorar su seguridad, siete años más tarde que
Microsoft (que aún lo está adaptando y asumiendo)... De hecho, ya se
empieza a conocer a Adobe como "la nueva Microsoft", heredando sus
problemas logísticos a la hora de mejorar la seguridad, teniendo que
rediseñar su estrategia (cuando quizás sea tarde), y actuando de forma
reactiva en vez de haber aprendido de otros fabricantes. Ahora que Adobe
se toma en serio su seguridad, esperamos que no sean necesarios tantos
años para, como le está costando a Microsoft, materializar los
resultados, puesto que el mundo del malware no es el mismo que en 2002,
y las consecuencias de los problemas de seguridad de hoy son mucho más
serias.
Fuente: hispasec.com
No hay comentarios:
Publicar un comentario