Adob​​e Reader和Acrobat中的修补程序严重安全漏洞

正如之前宣布的，Adobe已发布Reader和Acrobat的带外更新，以解决上个月在黑帽安全大会上公布的漏洞。

根据Adobe产品安全事件响应小组（PSIRT）博客上的一篇文章，“这些更新解决了产品中的重要安全问题，包括CVE-2010 -2862在最近发布的Black Hat USA 2010安全会议中讨论过，并且在安全公告APSB10-16中注明的8月10日Adobe Flash Player更新中讨论了漏洞.Adobe建议用户应用更新以安装产品。强调，它不知道在本安全公告中解决的任何问题在野外的任何漏洞利用，并且此版本不会影响下一季度季度更新的日期 - 2010年10月12日仍然如此。

[进一步阅读：如何从Windows PC中删除恶意软件]

显然，我错误地指出了过去季度更新周期的范围。 Adobe发言人与我联系以澄清Adobe的流程，解释“季度更新周期是针对Adobe Reader和Acrobat的，其他Adobe产品团队与Adobe的安全软件工程团队（ASSET）合作提供适当更新 - 周期可能不同于Adobe Reader和Acrobat的补丁周期“。

nCircle安全运营总监Andrew Storms评论Adobe公告。 “Adobe已经明确地改进了他们的发布机制，这次他们发布了一个声明他们会提供带外补丁的通信。不幸的是，自从第一次发布以来，发布的确切日期已经发生变化，这让企业安全团队抓住了他们的“Adobe补充说：”Adobe最初无法提供准确的发布日期，这让许多用户对其发布工程周期感到不安。“Storms也认为Adobe的细节和指导留下了一些不足之处”Adobe仍然在提供有用的细节信息方面还有很长的路要走，特别是与其他供应商比较。与往常一样，这个缺乏有用的细节和缓解信息。“Storms指出，Adobe正在改进。 Adobe发言人评论说：“考虑到我们许多产品（特别是我们的客户）的相对无处不在和跨平台的覆盖范围，Adobe吸引了并将可能继续吸引更多攻击者的关注，但Adobe采用业界领先安全软件工程实践和流程来构建我们的产品和响应安全问题，而Adobe客户的安全始终是一个至关重要的优先事项。“

今年早些时候实施了一个updater实用程序，用于自动修补Adobe产品，并在未来的产品发布中增加沙箱等安全措施，Adobe直接与微软和主要安全厂商合作以提高产品安全性并缩短开发关键补丁所需的时间，这些都体现了Adobe对安全的承诺。

希望Adobe未来能够提供更多关于漏洞细节的详细信息以及他们如何能够提供p可能被利用，以及可以防止攻击代替应用更新的缓解措施。 IT管​​理员需要这些信息来进行适当的风险分析，并提供防止利用漏洞的备选方法，以便在执行更新之前或者出于某种原因无法修补系统时使用。

现在，我建议您应用在恶意软件开发人员赶上并开始利用这些漏洞之前，Adobe Reader，Acrobat和Flash会更新所有易受攻击的系统。

在Twitter上关注TechAudit。