Adobe plant eigenen Patchday
Adobe will ab kommenden Sommer einen regelmäßigen Patch-Zyklus für Adobe Reader und Acrobat einführen. Alle drei Monate sollen ab dann jeweils den zweiten Dienstag eines Monats Sicherheits-Updates erscheinen.
- Daniel Bachfeld
Adobe will ab kommenden Sommer einen regelmäßigen Patch-Zyklus für Adobe Reader und Acrobat einführen. Alle drei Monate sollen ab dann jeweils den zweiten Dienstag eines Monats Sicherheits-Updates erscheinen – parallel zu Microsofts Updates. In den drei Monaten wollen die Entwickler im Rahmen des neu eingeführten Secure Product Lifecycle (SPLC) den Code auf Schwachstellen untersuchen und diese schließen. Bislang veröffentlichte Adobe seine Sicherheits-Updates nur beim Bekanntwerden von Sicherheitslücken.
Die Ad-Hoc-Updates soll es weiterhin geben, ein verbesserter Incident-Response-Prozess soll aber für eine genauere Koordination bei der Veröffentlichung der verschiedenen Versionen für die einzelnen Betriebssysteme sorgen. Beim Schließen der letzten Lücken will der Hersteller diesen Prozess bereits erfolgreich getestet haben: Adobe konnte innerhalb von 14 Tagen zumindest für Windows und Unix mehrere korrigierte Versionen bereitstellen.
Adobe reagiert damit auf die seit einigen Monaten von Sicherheitsexperten geforderten Schritte für mehr Sicherheit. Der Antivirenhersteller F-Secure riet sogar öffentlich vom Einsatz von Adobe-Produkten aufgrund der vielen Sicherheitslücken ab. Immer häufiger würden manipulierte PDF-Dokumente für gezielte Angriffe verwendet. Von den bislang in diesem Jahr registrierten Angriffen auf leitende Angestellte, Politiker und andere hochrangige Personen nutzten fast 50 Prozent sechs Sicherheitslücken in Adobes PDF-Produkten aus.
Im Jahr 2008 soll noch Microsoft Word mit 35 Prozent das beliebteste Ziel der Angreifer gewesen sein, obwohl bereits in diesem Jahr der Reader mit 19 Lücken vier mehr aufwies als Word (15). Während die Zahl der beobachteten infizierten PDF-Dateien von Januar bis April 2008 nur 128 betrug, stieg sie im gleichen Zeitraum 2009 auf mehr als 2300. Bei den Attacken versenden die Kriminellen präparierte Dokumente an ihre Opfer, um deren PCs zu infizieren und auszuspionieren. Auch das kürzlich gemeldete Spionagenetz zum Infiltrieren der Rechner der tibetischen Exil-Regierung verbreitete sich unter anderem über manipulierte PDF-Dokumente.
Ein Wermutstropfen hat die Sache allerdings: Der Zyklus gilt nicht für andere, ebenfalls weit verbreitete Adobe-Produkte wie Flash und Air.
Siehe dazu auch:
- Adobe Reader and Acrobat Security Initiative, Meldung von Adobe
- Antivirenhersteller rät vom Einsatz des Adobe Reader ab, Meldung auf heise Security
- Liste alternativer PDF-Viewer im heise Software-Verzeichnis
(dab)
