Adobe stemt patches af op Microsofts maandritme

Adobe past zijn patch-schema aan en brengt updates voor zijn Flash Player voortaan tegelijk uit met Microsoft, op diens Patch Tuesday. Hiermee dekken de twee bedrijven Windows 8 beter af.


Adobe doet vanaf de eerstvolgende Flash-update mee met de maandelijkse patchrondes van Microsoft. Updates die eerder af zijn, worden dan onder de pet gehouden tenzij er in de praktijk sprake is van kritieke cyberaanvallen. Softwaremaker Adobe doet al geruime tijd mee aan Microsofts beveiligingsinitiatief MAPP (Microsoft Active Protections Program), waarbij leden onderling security-informatie delen over gaten voordat ze daarvoor patches uitbrengen. Overigens is via MAPP eerder dit jaar bruikbare exploitcode uitgelekt.

De synchronisatie van Adobe's patchrondes met die van Microsoft komt neer op het voltrekken het security-huwelijk tussen de twee bedrijven, concludeert Webwerelds Amerikaanse zustersite Computerworld.com. Voorheen hanteerde Adobe (sinds 2009) een driemaandelijks ritme voor het uitbrengen van zijn updates. Zowel Adobe als Microsoft wijken soms af van hun respectievelijke patchplanning om voor kritieke 0-day gaten dan noodpatches uit te brengen.

Voor Windows 8

Het afstammen van de updaterondes geeft beheerders minder verspreid onderhoudswerk. Bovendien brengt het betere bescherming voor Windows 8. Microsoft biedt in zijn nieuwste pc-besturingssysteem namelijk zelf Flash aan voor het daarin geďntegreerde Internet Explorer 10 (IE10).

De variant van die webbrowser in Windows' nieuwe standaard-gui (voorheen Metro geheten) weigert namelijk browser plug-ins, voor "de beveiliging, betrouwbaarheid en privacy van consumenten", aldus Microsoft.

Flash-compromis

Dit zou bestaande websites - mede van grote contentbedrijven als Disney - saboteren en dus heeft Microsoft de Flash-software van Adobe opgenomen in IE10. Niet als externe plug-in, maar als zelf ingebouwde functie. Concurrent Google dit doet al geruime tijd voor zijn eigen browser Chrome.

Probleem hierbij kan het ritme zijn waarin de verschillende bedrijven patches uitbrengen. Google patcht zijn browser wanneer nodig en voert die updates automatisch door voor gebruikers. Microsoft houdt elke tweede dinsdag van de maand zijn patchronde, én geeft beheerders dan de keuze welke updates en fixes ze wanneer installeren.

Uit de pas = onveilig

Het patch-ritme van Adobe kan echter uit de pas lopen, wat Metro-IE10 een beveiligingsrisico kan bezorgen. Dit is eervorige maand al daadwerkelijk gebeurd: een noodpatch van Adobe voor een 0-day gat in Flash is niet gelijk uitgekomen voor Windows 8.

Dat nieuwe besturingssysteem was toen nog niet voor consumenten uitgebracht. Het was echter al wel beschikbaar voor grootzakelijke klanten met een software-abonnement, beheerders met een TechNet-account en softwaredevelopers met een MSDN-account. Microsoft liet aanvankelijk weten dat het Flash in Metro-IE10 zou patchen voordat Windows 8 uitkwam voor de consumentenmarkt; ruim anderhalve maand later. Enkele dagen later is Microsoft daar toch op teruggekomen.