Adobe Reader e Acrobat sono i programmi più utilizzati e conosciuti per la creazione e la lettura dei documenti PDF. Al contempo, risultano però tristemente famosi per essere entrati nel mirino dei cybercriminali di tutto il mondo, sempre pronti ad sfruttare ogni vulnerabilità insita in tali prodotti per veicolare i loro attacchi. La società di San Josè prende quindi pienamente atto della potenziale pericolosità dei suoi programmi e annuncia una completa rivisitazione dell’intero processo che parte dalla segnalazione di una nuova vulnerabilità al rilascio della relativa patch.
Secondo quanto riportato da Brad Arkin, direttore del settore Product Security and Privacy ad Adobe, la scintilla in grado di far scattare il cambiamento si chiama “JBIG2 vulnerability” (CVE-2009-0658), falla segnalata nel febbraio del 2009 e relativa ad Adobe Reader 9.0, che tanto ha fatto parlare di sé all’interno del panorama informatico. Nonostante la patch correttiva sia stata rilasciata a circa un mese di distanza, la scoperta dell’ennesima minaccia ha reso più che mai evidente la necessità di un radicale cambiamento. Adobe annuncia quindi una completa rivisitazione dell’intero processo che parte con la segnalazione interna (o di terzi) di una vulnerabilità associata ai prodotti Adobe sino al rilascio dell’aggiornamento mirato a correggere il problema.
Gli sforzi saranno concentrati su tre aree principali:
- Codice più robusto. Adobe Reader e Acrobat sono già soggetti a ciò che viene chiamato Secure Product Lifecycle (SPLC), indicante standard e strumenti per verificare la sicurezza dei prodotti realizzati, alla stregua del Security Development Lifecycle (SDL) di Microsoft. Purtroppo, tali tecniche permettono una maggior sicurezza solamente per quanto riguarda il nuovo codice, motivo cui Adobe ha iniziato una procedura di rafforzamento anche per quanto riguarda il codice più vecchio;
- miglioramenti nel processo di risposta all’incidente. Ovvero, rapporti più celeri, più informazioni sul rilascio delle patch e la distribuzione simultanea di correttivi per differenti piattaforme. Obiettivo dichiarato, la chiusura delle falle a non più di un paio di settimane di distanza dalla loro scoperta;
- aggiornamenti di sicurezza su base regolare. A partire da quest’estate verranno rilasciate patch correttive per Adobe Reader e Acrobat su base trimestrale, con uscita ogni secondo martedì del mese.
L’estate darà dunque il via al rilascio di patch correttive ogni secondo martedì del mese, su base trimestrale, in tandem con quanto d’abitudine per Microsoft con il suo Patch Day; una scelta dettata dal desiderio di venire incontro alle esigenze degli amministratori, i quali potranno con un solo atto aggiornare sia i programmi di casa Redmond che i prodotti provenienti da San Josè.