在由安全厂商Sourcefire公司主办的Adobe Hater大会上,安全研究人员声称发明Adobe公司的产品存在安全漏洞,从而将Adobe推上了风口浪尖。Adobe产品安全与隐私高级主管Brad Arkin决定主动出击,向业界公开公司的安全管理流程。在黑帽大会2010上,Adobe发布将参加微软主动保护打算(Microsoft Active Protections Program,MAPP),提前向安全厂商颁布漏洞材料,以使安全厂商能够生成签名,从而防备针对Adobe Reader、Acrobat和Adobe Flash中存在的漏洞的攻击。在这次采访中,Arkin还介绍了Adobe漏洞管理和安全策略的进展。以下为访谈内容:
对Adobe公司来说,接收微软的软件开产生命周期(Software Development Lifecycle,SDL)过程是不是一个比较新的事物呢?
Brad Arkin:不是。微软的SDL已经实行了10年左右。Adobe的安全产品生命周期(Secure Product Lifecycle,SPLC)源自Macromedia于2004年1月开端实行的产品生命周期策略(Adobe于2005年4月收购了Macromedia)。因此,从某种意义上说,Adobe的SPLC早已起步。每当微软发布新的软件开产生命周期文档和资源时,我们总是高度器重,深入研究;每当发明好的思想观点时,我们都积极采用并将其融入我们的产品中。
你盼望漏洞发明者如何披露漏洞?Adobe的负义务的漏洞披露政策又如何呢?
Arkin:研究人员任何时候发明Adobe的产品中存在安全漏洞,都可以通过psirt@adobe.com与我们接洽,我们非常愿意倾听研究人员的看法。我们会对邮件列表的内容进行梳理分类,对其中具有技巧价值的邮件,我们将会主动与向我们报告漏洞的研究人员接洽。如果能够证实报告漏洞的研究人员得出的成果,我们将会和谐产品团队修复漏洞。然后,产品团队将创立补丁并进行测试,以确保所创立的补丁能够修复漏洞。最终,我们将发布一个安全更新。我们已经与一些研究人员建立了密切关系并开展了多次合作。也有一些研究人员,虽然我们此前可能未与其建立合作关系,但我们知道他们是安全界的同仁。当研究人员花费其可贵的时间与我们分享漏洞信息时,我们必须确保向他们致以诚挚的感谢,并尽我们所能使其懂得我们的最新进展,这是我们一贯的目标。
Adobe为什么不向发明漏洞的研究人员颁发奖金?
Arkin:在支撑外部研究人员帮助我们进步软件的安全性方面,我们已经投入了大批的资金。当研究人员提出一个能够加强我们软件安全性的想法时,我们的做法是寻求可能的咨询服务,而不是向发明漏洞的研究人员颁发奖金。我们将容许发明漏洞的研究人员与直接从事产品开发的工程师交换,并获得相干产品的所有内部文档,以帮助其进行完整的白盒测试,这种嘉奖对外部研究人员来说更加难能可贵。与此同时,研究人员的经验和技巧所带来的成效也更加明显。然而,安全业界的发展一日千里,因此我们也将考虑其他方法(如向发明漏洞的研究人员颁发奖金)是否合适我们公司。
既然Adobe已经发布了Reader和Acrobat的季度更新,为什么又供给了一些带外更新?是不是因为Reader和Acrobat最近成为了攻击者的目标?
Arkin:季度更新重要是针对解决需求不是非常急切的问题。我们必须衡量尽可能快地向客户供给保护与安排补丁的代价之间的利弊。无论我们如何努力工作以简化补丁安排过程,但只要乘以数以亿计的盘算机,这一代价都十分宏大。虽然我们可以发布一大批补丁,以帮助用户防备最新发明的攻击,但与此同时,在大批的盘算机上安排最新的补丁需要花费宏大的代价,这确实是一个两难的问题。
什么是沙盒技巧,为什么要采用沙盒技巧?
Arkin:以Reader为例,加强Reader安全性以防备我们当前遇到的这种新型要挟的各种思想千差万别,而数以亿计的用户以特定的方法应用Reader,我们必须根据这一事实对这些思想进行折中。用户不想被迫转变自己的应用方法。那么,我们如何加强这些用户应用的Reader的安全性,而又不转变用户与产品的交互方法呢?沙盒(Sandboxing)正是一种可以解决这一问题的技巧,这项工作2009年夏季已经启动。目前,我们已经投入了大批资金来实行沙盒技巧,并筹备在Adobe Reader的下一个重要版本中采用沙盒技巧。第一个版本的沙盒将是只写的。沙盒将在一个低权限的过程中运行Reader。如果攻击者发明Reader存在漏洞,现在他或她可以利用该漏洞把持盘算机,但未来攻击者的行动将会被限制在沙盒中。
相关阅读