Обновления Adobe Flash будут выходить одновременно с обновлениями безопасности Microsoft

На днях компания Adobe официально подтвердила, что обновление безопасности для Flash Player впервые будет распространено в рамках традиционного ежемесячного цикла обновлений Microsoft в следующий вторник.

"Начиная со следующего обновления для системы безопасности Flash Player, мы планируем регулярно выпускать запланированные обновления безопасности для Flash Player в рамках ежемесячного цикла обновлений, выпускаемых Microsoft по вторникам" - говорится в официальном заявлении Adobe.

"Microsoft и Adobe теперь официально расписаны" - пошутил Эндрю Стормс (Andrew Storms), директор по безопасности nCircle, отвечая на вопросы по электронной почте. "Они начали встречаться, когда решили совместно работать над MAPP, но когда Microsoft встроила Flash в IE10, стало понятно, что сотрудничество с Adobe пойдет еще дальше."

С помощью MAPP (Microsoft Active Protections Program) компания Microsoft предоставляет ряду разработчиков секьюрити-приложений информацию о грядущих патчах, чтобы дать им время на создание сигнатур для обнаружения эксплойтов и вредоносного ПО. В июле 2010 года Adobe начала использовать MAPP для доставки информации об уязвимостях в своих продуктах секьюрити-вендорам.

Microsoft выпускает обновления безопасности для своих продуктов каждый второй вторник месяца, а Adobe выпускает исправления для Flash на нерегулярной основе. За этот год Adobe выпустила девять обновлений безопасности Flash: одно в феврале, два в марте, по одному в мае и июне, два в августе, одно в октябре и в ноябре.

Особую актуальность это приобрело после того, как Microsoft объявила, что встроит Flash Player в IE10 для Windows 8 и в ее планшетного собрата Windows RТ. Реальные проблемы возникли в сентябре, когда Microsoft заявила, что не будет устранять уязвимость в IE10, как минимум, шесть недель, хотя за месяц до этого Adobe выпустила обновления для одной уязвимости, активно используемой хакерами. Чуть позже Microsoft все же выпустила обновление, за которым последовало еще одно в октябре, которое вышло в тот же день, когда Adobe выпустила патч для Flash.

И Adobe, и Microsoft подверглись критике из-за выпуска внеочередных обновлений (хотя правды ради отметим, что Microsoft редко отклоняется от своего расписания) - якобы подобное расписание путает корпоративных клиентов компании. Совместный релиз обновлений должен исправить ситуацию.

"Совместный релиз обновлений является преимуществом для любой организации, которая осуществляет пакетную установку патчей" - считает Вольфганг Кандек (Wolfgang Kandek), технический директор Qualys. "Это упростит процедуру развертывания и обеспечит более широкое распространение патчей для Flash".

Стормс согласился со своим коллегой: "Через нескольких месяцев обновления Flash будут регулярной частью цикла обновлений". "Это вынудит Adobe перейти к регулярному циклу обновлений для других продуктов, что, несомненно, будет оценено пользователями".

Стормс и Кандек полагают, что Adobe была вынужден сделать это - то ли по собственной воле, то ли по настоянию Microsoft - когда последняя решила интегрировать Flash с IE10.

Неожиданным было то, считает Стормс, что у Microsoft и Adobe ушло столько времени на синхронизацию релизов, особенно после проблем Microsoft в сентябре. "Это был явный признак того, что несмотря на решение встроить Flash в IE10, никто не учел возможных последствий" - сказал Стормс. "К сожалению, остались за бортом собственные пользователи Microsoft на их новой платформе Windows 8".

Судя по всему, Стормс прав: если и была компания, которой суждено было выпускать обновления в тот же день, что и Microsoft, то это была Adobe, которая переняла у редмондской компании практики безопасности и использовала некоторые из ее антиэксплойтных технологий в своих продуктах - Reader и Flash.

Пресс-секретарь Microsoft отказалась комментировать решение Adobe и не ответила вопрос, оказывала ли Microsoft влияние на своего партнера. Вместо этого компания опубликовала заявление, приписываемое Дэйву Форстрому (Dave Forstrom), директору группы Trustworthy Computing, который сказал: "Наши клиенты говорят нам, что они однозначно предпочитают регулярный цикл выпуска обновлений безопасности, а мы всегда стремимся удовлетворить их потребности".

Хотя Adobe объясняет свое решение, исходя из удобства для пользователей, а не безопасности, Кандек видит его несколько иначе: "Выпуск обновлений Flash в любое другое время автоматически вынудит Microsoft выпускать внеочередные обновления для IE10". Если же Microsoft не захочет или не сможет выпускать такие внеочередные обновления безопасности для IE10, пользователи Windows 8 и Windows RT будут уязвимы через Flash, возможно, в течение нескольких недель.

Обновление Adobe, выпущенное в этот, вторник исправило семь уязвимостей, которые могут быть использованы хакерами для захвата контроля над компьютером на базе Windows, Mac и Linux. Сообщили об этих семи уязвимостях Adobe, как это часто бывает, инженеры команды безопасности Google. В тот же вторник Microsoft обновила IE10 на Windows 8 и Windows RT. Google, которая тоже интегрировала Flash в браузер Chrome, также обновила свой браузер.

IE10 на Windows 7, который Microsoft обещает выпустить в виде превью в середине ноября, не будет включать в себя интегрированную версию Flash, а будет использовать традиционное браузерное дополнение. Тем не менее, он, как и другие продукты Microsoft, будет обновляться в рамках ежемесячного цикла обновлений.

Adobe отдельно подчеркивает, что при необходимости будет выпускать обновления безопасности вне графика Microsoft, чтобы исключить zero-day уязвимости.

Пользователи Windows 8 и Windows RT могут получить обновление Flash для IE10 через службу Windows Update. Пользователи других ОС могут загрузить пропатченный плагин с официального сайта Adobe или использовать инструмент обновления Flash.


Источник: http://www.computerworld.com
Перевод: Betelgeuse