Wie Adobe auf die aktuelle Schwachstelle (CVE-2009-4324) reagierte
In einem Interview mit threadpost hat der Adobe Sicherheitschef Brad Arkin erläutert, wie sein Team von der aktuellen Schwachstelle in verschiedenen Adobe Produkten erfahren hat und wie sie danach vorgegangen sind.
Demnach haben mehrere Partner von Adobe am Montag den 14.12.2009 innerhalb weniger Minuten von der Schwachstelle berichtet. Daraufhin hätten Sie nur wenige Minuten benötigt, um die Schwachstelle als Angriffsmöglichkeit bestätigen zu können. Zu diesem Zeitpunkt war klar, dass die Schwachstelle ausgenutzt werden würde, und dass sie einiges an Medieninteresse hervorrufen würde. Am 15.12. wurde daraufhin das Security-Bulletin veröffentlicht; zu diesem Zeitpunkt nur mit einer Bestätigung der Schwachstelle und dem Hinweis, man solle das Bulletin weiter verfolgen. Ebenfalls am 15.12. war auch in den Medien von den ersten Angriffen berichtet worden.
An dem Problem wurde dann tagsüber in Amerika und nachts (aus amerikanischer Sicht) in anderen Büros weltweit gearbeitet, so das am Donnerstag den 17.12. ein handfestes Advisory vorgelegen hätte – soweit jedenfalls das Interview. Die letzte TechNote Aktualisierung ist laut Website jedoch vom 16.12. Ein Update wurde darin für den 12.01.2010 angekündigt. Für Brad Arkin verlief die Sache damit ” just real quick”.
Der zeitliche Verlauf macht deutlich, wie schwer sich Hersteller damit tun, Updates oder Work-Arounds an den Markt zu bringen. Sehr viel schwerer, wie unabhängige Sicherheitsanbieter, die sich einen Fehler im Advisory eher leisten können, als der Hersteller, der ja bereits mit der Schwachstelle selbst gepatzt hat. Wenn ich mich richtig erinnere, lagen die Workarounds von Secunia und der Shadowserver Foundation deutlich schneller vor.
Das ganze Interview finden Sie hier.
