image

Adobe: Wij werken net als Microsoft

maandag 14 december 2009, 14:46 door Redactie, 3 reacties

Critici noemen de manier waarop Adobe software ontwikkelt onvolwassen, maar het bedrijf ontkent dit. "Veel van de practices die we toepassen zijn dezelfde die Microsoft gebruikt." Toch zijn beveiligingslekken in Adobe's PDF Reader en Flash Player de voornaamste aanvalsvectoren voor aanvallers die systemen via drive-by downloads of gerichte aanvallen willen infecteren. "Adobe is groot genoeg dat de problemen een gevolg voor heel het internet hebben", zegt Mike Murray, CIO van Foreground. Volgens hem is de ontwikkelaar onvolwassen als het op beveiliging aankomt. "Ze hebben nog geen security discipline rond hun software ontwikkeld", hoewel hij toegeeft dat dit aan het veranderen is. Adobe zou nu pas beseffen dat de populariteit van de software betekent dat het security-bewuster moet zijn bij het ontwikkelen. Dezelfde realisatie die Microsoft een aantal jaren geleden had en in de Security Development Lifecycle resulteerde.

Een voorbeeld van de slechte implementatie is de Flash end ActionScript same-origin policy voor domeinen, die het uitvoeren van code beperkt van waar het vandaan komt. Via Flash kan een aanvaller kwaadaardige code verbergen, het naar een website uploaden om vervolgens wachtwoorden te stelen of andere problemen te veroorzaken. "Ze zouden dit kunnen oplossen als ze de same-domain origin policy strenger zouden instellen, maar veel websites zijn van de laksheid van die policy afhankelijk", gaat Murray verder. Een patch zou in dit geval allerlei websites kunnen breken.

Alert
Adobe ontkent de aantijgingen en beweert dat het tot één van de meest volwassen ontwikkelaars behoort. "Adobe is alert in alles wat het doet om de introductie van nieuwe lekken te voorkomen en snel te reageren op lekken die worden ontdekt nadat we een product hebben uitgebracht", zegt beveiligingschef Brad Arkin. Ook de problemen met de same-origin policy zijn volgens hem geen nieuws, aangezien dit een standaard model voor webbeveiliging is. "Als je iemand toestaat om code naar je website te uploaden, dan is het niet je website meer."

Reacties (3)
14-12-2009, 14:51 door Syzygy
Vergeten we dat Adobe de absolute top in de Grafische wereld is.
Natuurlijk moeten ze hun beveiliging beter op orde brengen met bepaalde producten maar om daar heel Adobe mee te diskwalificeren vind ik een beetje erg kortzichtig.
14-12-2009, 15:18 door Anoniem
Adobe: Wij werken net als Microsoft
Zegt dat niet genoeg?
14-12-2009, 16:45 door Anoniem
Door Anoniem:
Adobe: Wij werken net als Microsoft
Zegt dat niet genoeg?
Dat was een voorzetje bedoelt om in te koppen, lijkt mij
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.