Adobe rechtfertigt Verspätung beim Sicherheitsupdate für Reader

Das nächste Sicherheits-Update von Adobe kommt erst Mitte Januar. Damit hat Adobe am Freitag bekannt gegeben, dass sie die akute Sicherheitslücke nicht umgehend schliessen werden, sondern den "normalen" Update-Zyklus beibehalten.

Damit bleiben Anwender von Adobe Reader 9.2 und Adobe Acrobat 9.2 bis zum 12. Januar angreifbar. Brad Arkin, der Direktor für Produktsicherheit bei Adobe, beteuert, dass ein sofortiger Patch nicht wirklich eine Option war. Damit wäre der Freigabetermin für das normale Sicherheitsupdate im Januar gefährdet und hätte bis Februar verschoben werden müssen. Arkin schätzt, dass die Behebung ohnehin zwei bis drei Wochen Entwicklung in Anspruch nimmt und am besten in das Mitte-Januar-Update eingebaut wird. Seit Mai überarbeitet Adobe seine PDF-Anwendungen zur Eliminierung von Sicherheitslücken und veröffentlicht regelmäßige Updates im Drei-Monats-Rhythmus.

Den Vergleich mit der Firma Microsoft, die umgehend Versionen zur Behebung zusätzlich zu den normalen Sicherheits-Updates ausliefern, lehnt Arkin ab. Er vermutet, dass Microsoft an den Behebungen meist bereits lange vor der Veröffentlichung der Sicherheitslücke arbeiten. Adobe hat erst am vergangenen Montag von der letzten Sicherheitslücke erfahren, auch wenn die Logdateien von mehreren Sicherheitsfirmen den Exploit seit dem 20. November belegen. Wie auch im letzten Oktober verspricht Adobe vermehrt an der Früh-Entdeckung von Sicherheitslücken zu arbeiten.

Letztendlich beruft sich Arkin auf die Bequemlichkeit von großen Unternehmen, die gleich zwei Updates innerhalb von zwei Monaten nicht unbedingt begrüßen. In der Zwischenzeit verweist er Anwender auf die seit Oktober verfügbare Javascript-Blacklist-Funktion, mit der Anwender und Systemadministratoren bestimmte Javascript-Funktionen abschalten können, ohne gleich komplett Javascript zu deaktivieren. Laut Arkin bestätigten interne Tests bei Adobe, dass ein Abschalten der verwundbaren API vor dem aktuellen Exploit schützt.

Einzelheiten gibt Arkin nicht bekannt, aber kündigt an, dass das kommende Sicherheitsupdate bei weitem nicht den Umfang von der letzten Update-Version im Oktober erreicht, in der gleich 29 Fehler behoben wurden.