Critici noemen de manier waarop Adobe software ontwikkelt onvolwassen, maar het bedrijf ontkent dit. "Veel van de practices die we toepassen zijn dezelfde die Microsoft gebruikt." Toch zijn beveiligingslekken in Adobe's PDF Reader en Flash Player de voornaamste aanvalsvectoren voor aanvallers die systemen via drive-by downloads of gerichte aanvallen willen infecteren. "Adobe is groot genoeg dat de problemen een gevolg voor heel het internet hebben", zegt Mike Murray, CIO van Foreground. Volgens hem is de ontwikkelaar onvolwassen als het op beveiliging aankomt. "Ze hebben nog geen security discipline rond hun software ontwikkeld", hoewel hij toegeeft dat dit aan het veranderen is. Adobe zou nu pas beseffen dat de populariteit van de software betekent dat het security-bewuster moet zijn bij het ontwikkelen. Dezelfde realisatie die Microsoft een aantal jaren geleden had en in de Security Development Lifecycle resulteerde.

Een voorbeeld van de slechte implementatie is de Flash end ActionScript same-origin policy voor domeinen, die het uitvoeren van code beperkt van waar het vandaan komt. Via Flash kan een aanvaller kwaadaardige code verbergen, het naar een website uploaden om vervolgens wachtwoorden te stelen of andere problemen te veroorzaken. "Ze zouden dit kunnen oplossen als ze de same-domain origin policy strenger zouden instellen, maar veel websites zijn van de laksheid van die policy afhankelijk", gaat Murray verder. Een patch zou in dit geval allerlei websites kunnen breken.

Alert
Adobe ontkent de aantijgingen en beweert dat het tot één van de meest volwassen ontwikkelaars behoort. "Adobe is alert in alles wat het doet om de introductie van nieuwe lekken te voorkomen en snel te reageren op lekken die worden ontdekt nadat we een product hebben uitgebracht", zegt beveiligingschef Brad Arkin. Ook de problemen met de same-origin policy zijn volgens hem geen nieuws, aangezien dit een standaard model voor webbeveiliging is. "Als je iemand toestaat om code naar je website te uploaden, dan is het niet je website meer."