Большую часть времени, которую Adobe тратит на закрытие 0-day уязвимостей в
своих распространённых приложениях Reader и Flash Player, посвящена тому, чтобы
убедиться, что фиксы не вызовут катастрофических поломок в компьютерах конечных
пользователей, сообщил глава безопасности компании.

"Последнее, что бы мы хотели увидеть, это появление BSOD на сотнях миллионов
компьютеров после нашего релиза", — сообщил в пятницу участникам

Qualys Security Conference
в Сан-Франциско Брэд Аркин, директор Adobe по
приватности и безопасности продуктов. "Это было бы действительно ужасно. Это то,
чему мы никогда не можем позволить произойти".

Он сообщил, что разработчикам Adobe требуется от 20 минут до 8 часов для
создания патча после того, как они определят код, используемый в атаке с целью
удаленной установки вредоносных программ на компьютеры конечных пользователей.
Оставшееся время – обычно около 6 000 человеко-часов, как в случае с фиксом для
0-day уязвимости в Reader – тратится на тестирование новой версии на каждой
операционной системе, на которой он используется, чтобы убедиться в отсутствии
несовместимости.

В начале 2009 года с момента обнаружения Adobe уязвимости до выпуска фикса
проходило 10 недель. С тех пор компании значительно улучшила этот показатель.
Новый рекорд команды разработчиков составил около 72 часов, отметил Аркин.

Аркин заявил, что Adobe также работает над облегчением установки патчей.
Через несколько месяцев компания представит новый механизм обновлений для Flash,
который будет апгрейдить приложение во всех браузерах. На данный момент
компьютеры Windows, использующие более одного браузера, должны обновиться
дважды, один раз – для Internet Explorer, а второй – для других браузеров. Аркин
отметил, что этот пережиток остался с тех времен, когда у большинства
пользователей был медленный интернет и они не могли себе позволить скачивать
файл большого размера, что требуется для обновления всех браузеров.

"Чем больше пользователей в потребительской среде будут своевременно и без
труда обновляться, тем меньше станет привлекательных мишеней для плохих парней,
которые вкладывают деньги в эксплойт", — сказал он. "Идти в ногу со временем
очень важно для всех пользователей".



Оставить мнение