Infoseite // Adobe und die Bugs

Frage von mann:


Gerade gelesen auf http://blog.fefe.de/:

Der Zustand der IT-Industrie ist ja schon immer bemitleidenswert, wenn es um Security und sonstige Qualitätssicherung geht, und gerade Adobe fällt immer wieder durch die besonders minderwertige Softwarequalität auf, wenn man sich deren Exploit-Statistik anguckt, und ihre Advisories. Das Phänomen lässt sich bei allen größeren Projekten beobachten, wenn die Bugdatenbank frei zugänglich ist. Ab einem gewissen Füllstand geben die Leute das Ziel auf, jemals bugfrei zu sein. Man ist nur noch bemüht, die Zuwachsraten einzudämmen, und fixt "die besonders häufigen" Bugs. Firefox z.B. protzt damit, dass sie "die 10 häufigsten Crash-Bugs" gefixt haben. Anderswo läuft das nicht anders.
Diese Kapitulation hat sich in den letzten Jahren konzeptionell bedrohlich verschlimmert, weil die Hersteller inzwischen dazu übergeben, von dem eh überforderten Bug-Fix-Team Budget abzuziehen und damit Mitigations zu bauen. Sandboxing ist ein Trend, den man gerade bei allen möglichen Browsern sehen kann. Ausgehend von Mobiltelefonen sind jetzt auch schon die regulären Betriebssysteme zusehends Sandbox-Umgebungen für die Anwendungen.

Ich halte das alles für Snake Oil, schlimmer noch, für aktiv sicherheitsreduzierend. Denn mit dem Geld, mit dem hier sinnlose Techniken eingeführt werden, hätte man wunderbar Bugs fixen oder gar den Entwicklungsprozess verbessern können.

Der aktuelle Höhepunkt in diesem Kasperletheater ist der Security-Chef von Adobe (Der Brüller! Adobe hat tatsächlich einen Security-Chef!)

Der hat sich tatsächlich hingestellt (auf einer Kaspersky-Konferenz, das passt auch mal wieder wie Arsch auf Eimer) und dem staunenden Publikum erklärt, dass es Adobe ja gar nicht darum geht, die Bugs zu fixen. Stattdessen sei das Ziel, das Ausnutzen der Bugs teurer zu machen. Und aus diesem Gesicherpunkt verurteilte er die Forscher, die es wagen, Papiere darüber zu veröffentlichen, wie man die sinnlosen Mitigations umgeht.

Kommt jemandem diese Argumentation bekannt vor? Genau so hat die Contentmafia es damals angestellt, dass das Umgehen von (und seien auch noch so lächerlich schwachen) Kopierschutz-Vorrichtungen unter Strafe zu stellen.

Wir als Kunden müssen uns gegen diese Leute zur Wehr setzen. Kauft keine Produkte von Firmen, die lieber in Mitigations als in ordentliche Entwickler-Schulungen und Qualitätssicherung investieren.

Falls die grotesken Aussagen von diesem Adobe-Clown demnächst aus dem Internet verschwinden, zitiere ich sie hier mal in Gänze:

"My goal isn’t to find and fix every security bug," Arkin argued. "I’d like to drive up the cost of writing exploits. But when researchers go public with techniques and tools to defeat mitigations, they lower that cost."
At Adobe, Arkin’s security teams have been working overtime to stem the flow of zero-day attacks against two of its most widely deployed products — Adobe Reader and Adobe Flash Player — and he made the point that too much attention is being paid these days to responding to vulnerability reports instead of focusing on blocking live exploits.

"We may fix one vulnerability that has a security characteristic but when we change that code, we are creating a path to other vulnerabilities that may cause bigger problems in the future," he said.

Eigentlich könnte man den ganzen Artikel zitieren. Un-glaub-lich. Der weint da ernsthaft herum, dass Adobe ja soooo viele Bugs gemeldet kriegt, dass sie mit ihren Fixes mehr kaputtmachen als sie reparieren. Plötzlich geht Drucken nicht mehr und so. Das ist eine Selbstanklage von geradezu biblischen Dimensionen. Und der Höhepunkt des Unverständnisses:
"We have patched hundreds of CVEs over the last year. But, very, very few exploits have been written against those vulnerabilities. Over the past 24 months, we’ve seen about two dozen actual exploits," Arkin said, making the argument that software vendors are not wisely using their security response resources.
Hey, Arkin, DAS IST DER GRUND, WIESO MAN BUGS FIXT. Damit es nicht zu Exploits kommt! Wie konnte denn bitte diese Gestalt jemals Security-Chef werden?!
Höhepunkt seiner Selbstzerfleischung ist die folgende Aussage:

Finding a bug is pretty straightforward
Aha, soso, es ist also einfach, in Adobe-Software Bugs zu finden? Wieso tut ihr da nicht was gegen?



Antwort von TomStg:

Schöne Zitaten- und Sprüchesammlung von Dir. Liest sich wie der Weltuntergang - erzeugt durch Adobe.

Aber wieviele Bugs kennst Du selbst von Adobe-Produkten? Und wieviele Anwender von Adobe-Software arbeiten täglich weltweit damit erfolgreich? Adobe ist Medien-Standard - z.B. Photoshop, Illustrator, After Effects mit einem einmalig effektiven Workflow untereinander. Du weisst selbst, dass die Probleme zu 98% nicht in der Software, sondern vor dem Bildschirm sitzen.

Also: Wenn Du ein Problem mit Adobe hast, behalte es für Dich und wiegel hier nicht die Leute auf.

Tom



Antwort von AlptraumM:

Was heißt hier aufwiegeln, er kann seine Meinung frei äußern und wenn Dir das nicht passt musst Du damit leben. Ganz unrecht hat er damit ja nicht, wenn man sich überlegt, das der Kunde heute als Betatester benutzt wird und ein " fertiges" Produkt selten geliefert wird. Das bezieht sich auch auf Adobe



Antwort von WWJD:

Ist doch klar, dass man mit Bugfixies kein Geld verdienen kann.
Besser man bringt wieder einmal ein Bugdate - ähm tschuldigung - ein Update, und sugeriert den schon leidgeplagten Betausern Verbesserung.
Beispiel Adobe Photoshop Elements bzw. Premiere Elements. Ich habe 4 Versionen davon, bei jeder Version lebt sich ein Bug irgendwo aus, sei es in der Druckvorschau, oder Import etc. Was mich am meisten nervt, ist die Tatsache, dass man sich nicht wehren kann. Es gibt keine Obutsstelle für leidgeplagte User - oder doch? - von welcher Seite sollte Druck auf Adobe kommen? Also können die Hersteller tun was sie wollen, vielleicht gibt's früher oder später wiedereinmal eine lockende Verkaufsaktion und das Problem ist wieder vom Tisch. Wenn z.B. Sony eine Videokamera genau nach den Vorstellungen der Verbraucher herstellen würde, würde niemand mehr (etwas übertrieben) im nächsten Jahr eine Sonycam kaufen, denn das Ding läuft perfekt und niemand hat das Bedürfnis etwas neues zu kaufen, denn man hat das was man braucht. Dessen sind sich die Hersteller bewusst und umgehen dieser "Problematik" so, dass sie nur Betaversionen an die User ausliefern. Deshalb gibt es auch Leute, die erst gar nicht auf die Idee kommen, die Programme zu bezahlen, sondern irgendwo illegal im Netz downloaden und benützen.
Tja.........



Antwort von mann:

Mein link-Hinweis auf blog.fefe.de (bzw. das lange Zitat, Anführungsstriche hatte ich leider vergessen) sollte einfach nur 'ne Infoweitergabe sein. Der blog.fefe-Macher ist IT-Experte, und seine Kommentare über die unterschiedlichsten Sachen sind oft aufschlußreich...
Wenn er berichtet: "Der (Adobe-Manager) weint da ernsthaft herum, dass Adobe ja soooo viele Bugs gemeldet kriegt, dass sie mit ihren Fixes mehr kaputtmachen als sie reparieren. Plötzlich geht Drucken nicht mehr und so", dann ist das doch ein Hammer, oder?



Antwort von cantsin:

Felix von Leitner (alias "fefe") ist einer der führenden deutschen IT-Sicherheitsexperten und übrigens auch Sprecher des Chaos Computer Club. Was er da über Adobe berichtet, ist in der Tat extrem unschön. Nur kann man der Firma wahrscheinlich sogar dankbar sein, dass sich deren Sicherheitsbeauftragter nicht entblödet, vor Publikum derart die Hosen herunter zu lassen. Das wäre etwa so, als wenn VW bei einer Autotechnik-Fachkonferenz einen Manager auftreten lassen würde, der sagt, dass man konstruktionsbedingte Sicherheitsmängel der eigenen Autos nicht mehr behebt, sondern so gut es geht durch Anbauten zu umschiffen versucht.

Allerdings muss man auch berücksichtigen, dass bei Offline-Anwendersoftware wie Premiere oder Photoshop ein Bug einfach nur ärgerlich für Anwender ist, aber meistens nicht mehr. Worum es fefe wirklich ging, sind die Adobe-Browser-Plugins Acrobat und Flash, die durch ihre Bugs bzw. Sicherheitslücken und Exploits mittlerweile zum größten Einfallstor für Viren und Malware im Internet geworden sind. Da ist Adobes Qualitätsphilosophie schon mehr als fahrlässig, und man wundert sich nicht mehr, dass Apple Flash von seinen Geräten verbannt (nachdem sich aus automatisch generierten Statistiken erwies, dass das Flash-Plugin für mehr als die Hälfte aller Computerabstürze von Macs verantwortlich war) und Google seinem Chrome-Browser einen eigenen PDF-Betrachter spendiert hat.