Hợp tác với cộng đồng bảo mật rộng lớn hơn là một cách Adobe nỗ lực để bảo vệ khách hàng. Việc bắt tay với Trend Micro và Chương trình Bảo vệ Chủ động của Microsoft ( MAPP ). Thông tin chi tiết về sự hợp tác đang diễn ra do Trend Micro công bố tại đây.
Đối với các báo cáo về lỗ hổng Acrobat và Reader, chúng tôi cung cấp thông tin về Trend Micro trước khi các bản vá được công bố công khai. Họ phát triển hướng dẫn cho những người bảo vệ mạng và hướng dẫn này được gửi tới các nhà cung cấp MAPP tham gia. Sự hợp tác này giúp bảo vệ hệ sinh thái rộng lớn hơn bằng cách cung cấp các biện pháp bảo vệ cùng ngày với bản cập nhập được phát hành. Đã có nhiều báo cáo công khai về các lỗi đã được cập nhập và được đưa vào bộ công cụ khai thác. Với sự hợp tác này chúng tôi đảm bảo các biện pháp bảo vệ luôn sẵn sàng cho người dùng từ ngày đầu tiên sử dụng.
Sự hợp tác bắt đầu từ năm 2006, Trend Micro đã làm việc với Adobe theo những cách sau:
- Thông qua chương trình Zero Day Initiative (ZDI) của Trend Micro. Họ mua các lỗ hổng bảo mật từ các nhà nghiên cứu đã xác minh và báo cáo chúng một cách có trách nhiệm cho Adobe [thông qua chương trình ứng phó sự cố bảo mật sản phẩm của chúng tôi (PSIRT)]. Việc tiết lộ có trách nhiệm này được đánh giá rất cao để giúp chúng tôi bảo vệ khách hàng khỏi các mối đe dọa bảo mật tiềm ẩn.
- Trong những năm qua, ZDI đã báo cáo 1.174 lỗ hổng trong các sản phẩm khác nhau của Adobe. Những tiết lộ phối hợp này dẫn đến các bản vá giúp bảo vệ khách hàng của chúng tôi trên toàn cầu.
- Adobe đã tham gia nhiều cuộc thi Pwn2Own trong nhiều năm và vào năm 2021, Adobe đã thể hiện sự ủng hộ hơn nữa của cộng đồng bằng cách tài trợ cho sự kiện bằng cách cung cấp hỗ trợ lập kế hoạch và hậu cần.
- Các nhà nghiên cứu bảo mật từ Trend Micro đã nói chuyện với các kỹ sư của Adobe về các phương pháp tốt nhất của “fuzzing” và cách sử dụng để cải thiện khả năng phát hiện lỗ hổng trong mã hóa.
- Hiện có một dự án trong xu hướng để tìm các vấn đề đã biết có thể tồn tại trong danh mục sản phẩm của chúng tôi. Nỗ lực tìm kiếm này được chia sẻ nhằm hỗ trợ các bản sửa lỗi toàn diện thay vì cách tiếp cận từng phần.
- Tại ấn bản năm 2019 của Black Hat Europe, một nhà nghiên cứu bảo mật từ Adobe đã đồng trình bày với một nhà nghiên cứu bảo mật từ ZDI về những nỗ lực giảm thiểu leo thang đặc quyền trong các hạn chế bảo mật tích hợp trong các công cụ JavaScript.
Các nhà nghiên cứu của ZDI chịu trách nhiệm gửi một số giải pháp chuyên sâu về phòng thủ sáng tạo giúp giảm thiểu bề mặt tấn công trong các sản phẩm của Adobe. Chúng tôi cảm thấy tự tin khi cho phép Trend Micro thực hiện nghiên cứu và phân tích lỗ hổng trên các tệp bằng chứng về khái niệm (POC) của Adobe. Phân tích này được cung cấp cho các Nhà cung cấp phần mềm độc lập (ISV) và Nhà cung cấp AV để giúp quét và phát hiện các lỗ hổng tiềm ẩn này, nhằm giúp ngăn chặn chúng xảy ra. Những người tham gia chương trình MAPP có quyền truy cập vào thông tin tình báo về mối đe dọa này trước khi phát hành công khai để khách hàng của họ có thể được bảo vệ khi các bản vá đang tồn tại.