Criticado hace unos tres meses por haber sido muy lento a la hora de resolver una vulnerabilidad de día cero en su popular visor de PDF, Adobe ha prometido eliminar los fallos del viejo código, acelerar el proceso de resolución de problemas y lanzar actualizaciones regulares de seguridad para Adobe Reader y Acrobat.

Las críticas le llegaron el pasado mes de febrero, cuando reveló una vulnerabilidad crítica, admitiendo que el fallo había sido utilizado por los hackers. Sin embargo, tardó semanas en resolver el problema, y fue entonces cuando Adobe se vio obligada a revisar sus prácticas de seguridad , ha reconocido Brad Arkin, director de privacidad y seguridad de productos Adobe.

“Al principio, simplemente fue otro incidente de seguridad más”, ha declarado Arkin, “pero acabó provocando cambios en nuestras prácticas de seguridad con Reader y Acrobat”. El proyecto tiene tres partes, según explica Arkin, y ha empezado con un vistazo al código heredado en Reader y Acrobat, que él califica como “áreas de riesgo”.

Actualmente, Adobe está desarrollando nuevo código bajo lo que denomina Secure Product Lifecycle, un acercamiento similar a lo que enMicrosoft se conoce como SDL, Software Development Lifecycle y que implica múltiples pasos específicos de seguridad que los programadores deben seguir para hacer que sus programas sean menos permeables a los ataques. A partir de ahora, Adobe aplicará la metodología SPCK a algunas viejas secciones de Reader y Acrobat. 

“Vamos a ir más allá y estudiar la aplicación completa, pero nos centraremos en las áreas de riesgo, donde realizaremos modelado de hilos, análisis de código estático y buscaremos potenciales vulnerabilidades”, ha explicado Arkin, quien no ha querido denominar ese cambio una completa “revisión de código”, como la que hizo Microsoft y en la que gastó millones para eliminar los errores de Windows XP.

“Vamos a hacer mucho más trabajo proactivo”, ha prometido, “queremos acabar con las vulnerabilidades”. Adobe también acelerará la resolución de problemas y la comunicación con sus usuarios más frecuentemente. La compañía se vio perjudicada en febrero por tardar unas tres semanas en resolver el problema sólo para Reader y Acrobat 9. Después, tardó otras semanas más en ofrecer la solución para otras versiones de los productos. La solución para una vulnerabilidad de día cero diferente ha sido expedida por Adobe este mes y ha sido el primer paso en esta nueva etapa. “El hecho es que hemos podido resolverlo el 12 de mayo y solucionar los problemas de todas las ediciones de Reader y Acrobat el mismo día. Es muy alentador”.

Adobe también imitará los pasos de Microsoft, pero no sólo pasando a un calendario de resolución de problemas habitual, sino intentando ofrecer esas soluciones el mismo día que lo haga Microsoft. “Hasta ahora, hacíamos los parches a medida que se necesitaban.  Pero ahora vamos a ofrecerlos a nuestros clientes y nos alinearemos con Microsoft para que el segundo martes de cada mes estén listos.  Nuestros clientes nos han dicho que, para ellos, era más sencillo hacerlo así”.

Arkin no ha querido especificar una fecha de comienzo de esta nueva política de resolución de problemas. Aunque sí ha afirmado que será a lo largo de este verano. Eso sí, sólo Reader y Acrobat están implicados en este proyecto y Adobe no tiene previsto deshabilitar JavaScript en estas aplicaciones. Lo cierto es que en ambas vulnerabilidades de día cero han estado implicado JavaScript, por lo que Adobe ha recomendado a sus usuarios que lo deshabiliten temporalmente, hasta que el problema esté solucionado.

“No deshabilitaremos JavaScript por defecto, se trata de una característica realmente crítica para nuestros clientes corporativos”. En su lugar, tomarán medidas que tienen previsto mejorar la seguridad del código. “El modo en que el malware intenta atacar a las máquinas de la gente ha cambiado en los últimos seis o doce meses”, ha declarado Arkin, al explicar porqué Adobe sintió la necesidad de reimpulsar su proceso de seguridad.

21/05/2009 Paula Bardera