Adobe anunció el pasado martes que va a sincronizar las futuras actualizaciones de seguridad para su popular reproductor Flash con el calendario de actualizaciones de Microsoft el segundo martes de cada mes.

Al mismo tiempo, Adobe publicó una actualización que corregía siete vulnerabilidades críticas de Flash y Microsoft lanzaba una actualización para Internet Explorer 10 (IE10), que incluye una copia integrada de Flash.

Pero la medida para sincronizar las actualizaciones de Flash Player con horario de parches mensuales de Microsoft fue la noticia más grande. “A partir de la próxima actualización de seguridad de Flash Player, planeamos lanzar regularmente las actualizaciones de seguridad programadas para Flash Player en “Patch Tuesdays” (Martes de parches), dijo Adobe en un comunicado.

“Microsoft y Adobe están ahora oficialmente casados”, bromeó Andrew Storms, director de operaciones de seguridad en nCircle Security, en una respuesta por correo electrónico a las preguntas. “Ellos comenzaron a salir cuando decidieron compartir el programa MAPP y una vez que Microsoft acordó insertar Flash en IE10, era inevitable que Adobe iba a ser fuertemente conminado para que siga la cadencia de parches de Microsoft”.

Bajo MAPP (“Microsoft Active Protections Program”), Microsoft proporciona a los proveedores selectos de seguridad información de los pre-parches para darles tiempo a estas compañías de construir las firmas de detección de los próximos exploits o malware. En julio del 2010, Adobe comenzó a usar MAPP para ofrecer información acerca de las vulnerabilidades de sus productos a empresas de seguridad.

Microsoft publica sus actualizaciones de seguridad el segundo martes de cada mes, pero hasta ahora Adobe ha publicado las correcciones de errores de Flash a intervalos irregulares. En lo que va de este año 2012, Adobe ha lanzado nueve actualizaciones de seguridad de Flash: una en Febrero, dos en Marzo, una en Mayo y Junio, dos en Agosto, una en Octubre y otra en Noviembre.

Los parches no sincronizados de las dos empresas se convirtieron en un problema después de que Microsoft anunciara que integraría Flash Player en IE10 para Windows 8 y su tableta de Windows RT. Pero los problemas surgieron en septiembre, cuando Microsoft dijo que no parchearía IE10 durante al menos seis semanas, a pesar de que Adobe había publicado actualizaciones del mes anterior que abordaron por lo menos una vulnerabilidad que los hackers ya estaban explotando.

Microsoft más tarde se retractó y publicó una actualización de IE10, y luego siguió con otra en Octubre en el mismo día que Adobe lanzo sus correcciones de Flash.

En ese momento, los expertos en seguridad criticaron a Adobe y Microsoft por lanzar actualizaciones inesperadas – Microsoft rara vez se desvía de su calendario de los segundos martes de cada mes – y dijeron que esos cambios habían confundido a los clientes, especialmente al personal TI de las empresas que confían en el horario predecible de Microsoft.

Aunque las actualizaciones de Flash junto con las de Microsoft agregaran más trabajo a los usuarios los segundos martes de cada mes, los profesionales de la seguridad elogiaron el cambio de Adobe.

“La concentración de actualizaciones en un solo día es un beneficio para cualquier organización que gestiona paquetes de parches”, dijo Wolfgang Kandek, CTO de Qualys, en un correo electrónico. “De esa manera la actualización puede ser manejada por el mismo proceso de decisión, lo que debería agilizar los paquetes de parches y obtener las actualizaciones de Flash [instaladas] más ampliamente”.

Storms está de acuerdo que; “En unos pocos meses, la actualización de Flash sólo será una parte regular del ciclo de los Martes de parches”, pronosticó. “La medida va a obligar a Adobe para entrar en un ciclo regular con procesos repetibles que sus usuarios finales llegarán a reconocer y apreciar.”

El portavoz de Adobe Lips Wieke dijo que su empresa había “discutido internamente y en coordinación con Microsoft” el paso a los Martes de parches.

Storms y Kandek sospechan que Adobe se vio obligada – ya sea por voluntad propia o a instancias de Microsoft – cuando este último decidió agrupar Flash con IE10.

“El nuevo calendario de Adobe es acomodar el típico calendario de publicación de martes de parches para Windows, que dependen de los clientes de la empresa,” dijo Kandek.

Lo que fue una sorpresa, dijo Storms, fue que tomó este largo tiempo para Microsoft y Adobe sincronizar las actualizaciones de seguridad, particularmente después de la marcha atrás por Microsoft en Septiembre. “Eso fue una señal clara de que, a pesar de la decisión ejecutiva de poner Flash en IE10, nadie considera las ramificaciones”, dijo Storms. “Lamentablemente, la gente dejada sujetando la bolsa eran usuarios de Microsoft en su nueva plataforma de Windows 8”.

En retrospectiva, Storms tenía razón: Si hubo una empresa destinada a montar los Martes de parches, fue Adobe, que ha adoptado prácticas de codificación de seguridad de Microsoft y utiliza algunas de sus tecnologías de anti-exploit “sandboxing” en Reader y Flash.

Microsoft se negó a responder preguntas sobre la decisión de Adobe, incluyendo si Microsoft había presionado a su socio para hacer la modificación. En cambio, la empresa emitió un comunicado atribuido a Dave Forstrom, un director en el grupo de Trustworthy Computing de la empresa, que dijo, “nuestros clientes nos dicen que prefieren fuertemente una cadencia predecible de lanzamientos de la actualización de seguridad, y nuestro objetivo es honrar la preferencia.”

Mientras que Adobe caracteriza la decisión como una conveniencia y previsibilidad para los usuarios en lugar de una mejora de la seguridad, Kandek lo vio ligeramente diferente.

“La Liberación no programada de actualizaciones de Adobe Flash en cualquier otro momento serían forzar a Microsoft de lanzar versiones del navegador IE10 fuera de ciclo, y es mantener un intervalo estrecho entre la versión de Flash y la liberación de IE10,” dijo Kandek.

Si Microsoft no quiere o no puede enviar actualizaciones de emergencia de IE10, los usuarios de Windows 8 y Windows RT serían vulnerables a exploits de “día cero” en Flash, potencialmente durante semanas.

El pasado Martes la actualización de Flash parcheo siete vulnerabilidades, que podría utilizarse por los hackers para secuestrar PCs con Windows, Mac y Linux. Ingenieros en el Equipo de Seguridad de Google, como lo hacen a menudo, informaron de las siete vulnerabilidades a Adobe.

Microsoft actualizo IE10 en Windows 8 y Windows RT el martes, lo que es la segunda vez en fila que la empresa envía parches el mismo día que se actualiza Adobe Flash.

Google, que ha empaquetado Flash con su navegador Chrome durante más de dos años, también actualizo su navegador para incluir la versión parcheada del reproductor multimedia.

IE10 para Windows 7, que Microsoft se ha comprometido de lanzarlo a mediados de noviembre, no incluirá una versión integrada de Flash, pero dependerá del tradicional plug-in. Aún así, como otros navegadores, recibirá futuras actualizaciones los segundos martes de cada mes.

Adobe también dijo que haría, si es necesario, emitir actualizaciones de emergencia fuera del ciclo de actualizaciones de Microsoft para corregir vulnerabilidades de “día cero”.

Los usuarios de Windows 8 y Windows RT pueden obtener la actualización de Flash para IE10 a través del servicio Windows Update, mientras que otros pueden o bien descargar el actualizado complemento (plug-in) del sitio web de descargas de Adobe  o utilizar la herramienta de actualización de Flash.

Traducción: Velcro

Fuentes:

computerworld.com-page 1

computerworld.com-page 2

Anuncios