De Nederlandstalige download van Adobe Reader loopt drie updates achter, met opzet. Het packagen van de patches in het volledige programma kost te veel werk, antwoordt Adobe.

De download van het gratis Reader loopt enkele kritieke beveiligingsupdates achter, en niet voor de eerste keer. Nederlanders downloaden op de Adobe-website versie 10.1.0, die stamt uit juni vorig jaar. Vanuit Adobe's hoofdkantoor in de Verenigde Staten komt een verklaring voor dit aanbieden van een verouderde, onveilige versie.
Package- en testwerk

Het opnemen van de nieuwste Reader-patch (versie 10.1.3) in het installeerbare programma dat Adobe biedt in zijn downloadcentrum vereist werk. Dit zogeheten packagen in de volledige installer gebeurt niet voor alle taalvarianten waarin het bedrijf zijn gratis PDF-leessoftware aanbiedt.

In totaal biedt Adobe op zijn downloadsite meer dan 70 verschillende volledige installers van Reader, elk voor een ondersteunde combinatie van taal en onderliggend platform. "Elk moet volledig worden getest en dan moet het Download Center zelf worden getest om er zeker van te zijn dat de correcte taal/besturingssysteem-installer wordt aangeboden aan de diverse browser/taal/besturingssysteem-requests die de site krijgt." Dit kost ondanks alle automatisering die Adobe hiervoor heeft in totaal nog "duizenden manuren".
Niet voor alle talen

"We doen dit voor de talen die het merendeel van onze downloads vormen", antwoordt Adobe op vragen van Webwereld. "Dat zijn de versies die een hoger risico hebben om op de korrel te worden genomen door exploit(s) in het wild."

Die 'belangrijke' talen, waarvan de downloads dus wel consequent worden bijgewerkt, zijn de Engelse, Duitse, Spaanse, Japanse en Franse versies voor Windows, en de Engelse versie voor Mac OS X, stelt Adobe tegenover Webwereld.
Wachten op bijwerken

Reader-downloads in andere talen worden pas bijgewerkt zodra er f een geheel nieuwe versie (zoals 11) f een zogeheten dot-release is (zoals 10.2). Adobe maakt nog niet bekend wanneer zo'n volgende versie uitkomt. De volgende Reader-versie kan 10.2 zijn, maar bijvoorbeeld ook 10.1.4. Dat is nog niet bepaald, laat het bedrijf weten aan Webwereld.

Adobe wijst er ook op dat de Reader-applicatie in kwestie is voorzien van een automatische updater. "Zelfs na het downloaden van de volledige 10.0.1-installer downloadt onze automatische updater de 10.1.3-patch."

Het bedrijf verwijst voor meer informatie naar een blogpost van twee jaar terug waarin securitytopman Brad Arkin de toen nieuwe updater uiteenzette. "De meeste gebruikers die ooit tegen een securityprobleem zijn aangelopen bij het gebruik van Adobe-producten zijn aangevallen via een bekende kwetsbaarheid die is gepatched in meer recente versies van de software", blogde de Adobe-topman toen.
Updater slaat niet direct aan

Uit een test van Webwereld blijkt dat de updater in Reader niet gelijk aanslaat na download en installatie van de verouderde versie. Toen we PDF-bestand aanklikten werd dat geopend in de oude Reader, mt bekende beveiligingsgaten. Enkele uren later meldt de verouderde software dat er updates klaarstaan en schotelt het de gebruiker de keuze voor updates voortaan automatisch te downloaden en installeren.

In de tussentijd is de Adobe-software wel kwetsbaar. Misbruik van de aanwezige gaten kan nog wel worden beperkt door de ingebouwde isolatie (sandboxing) die Adobe heeft ingevoerd in zijn producten. Kwaadwillenden hebben dan minstens twee beveiligingsgaten nodig: n om uit de sandbox te breken en n om bijvoorbeeld een buffer overflow te veroorzaken waarna hun malafide code zichzelf kan uitvoeren. In de praktijk gebeurt dit al wel, voor diverse producten waaronder ook die van Adobe.
Gelijk updaten 'wel de bedoeling'

Adobe stelt tegenover Webwereld dat het wel de bedoeling is dat het updatemechanisme al bij de eerste keer dat Reader wordt uitgevoerd controleert op updates. "Als alles werkt zoals bedoeld, dan worden gebruikers die de nieuwste volledige versie (10.0) of dot-release (10.1) van Adobe Reader downloaden, gepdatet naar de nieuwste double-dot versie (10.1.2)." Het is niet bekend waarom dit 'bedoelde gedrag' in de praktijktest van Webwereld niet zo werkt.