Adobe проучи коя употреба се оказва неподходяща за сертификат за подписване с код на Adobe за Windows. Ние анулирахме засегнатия сертификат на 4 октомври 2012 г. за всеки софтуерен код, подписан след 10 юли 2012 г.

Анулиране на засегнатия сертификат

В.: Защо Adobe анулира сертификата?

О.: За да запазим доверието в оригиналния софтуер на Adobe, ние анулирахме засегнатия сертификат на 4 октомври 2012 г. за всеки софтуерен код, подписан след 10 юли 2012 г. Ние сме в процес на издаване на актуализации, които са подписани с нов цифров сертификат, за всички засегнати продукти.

Обяснение на подписването с код

В.: Какво представлява сертификатът за подписване с код?

О:. Сертификатите за подписване с код се използват за цифрово подписване на софтуерни програми. Много софтуерни разработчици, в това число и Adobe, подписват цифрово програмите, които създават, за да гарантират на клиентите, че програмите са законни и не са модифицирани.

В.: Как работи подписването с код?

О:. Цифровите подписи използват криптографска технология за публични ключове за защита и удостоверяване на кода.

  1. Дадени разработчик добавя цифров подпис към код или съдържание, като използва уникален частен ключ от сертификат за подписване с код.
  2. Когато потребителят изтегли или срещне подписан код, системният софтуер или приложение на потребителя използва публичен код за дешифриране на подписа.
  3. Системата търси „главен“ сертификат с идентичност, на която има доверие или която разпознава, за да удостовери подписа.
  4. След това системата сравнява хеширането, използвано за подписване на приложението, с хеширането на изтегленото приложение.
  5. Ако системата има доверие на главния сертификат и хеширанията съвпадат, изтеглянето или изпълнението продължават.
  6. Ако системата няма доверие на главния сертификат или хеширанията не съвпадат, тя прекъсва изтеглянето с предупреждение или изтеглянето завършва неуспешно.

В.: Може ли сертификат за подписване с код да се използва за други цели, освен за подписване с код?

О.: Не. Всички цифрови сертификати носят маркировка, която ограничава за какво могат да се използват. Този конкретен сертификат може да се използва само за цифрово подписване на програми. Те не могат да се използват за шифриране на данни, подписване на документи или имейли или да правят нещо друго освен подписване на програми.

Въздействие върху клиента: Защита

В.: Уязвимост в защитата или дефект в продукт на Adobe ли е причината за анулирането на сертификата?

О.: Не. Този проблем не оказва влияние върху сигурността на вашия оригинален софтуер на Adobe.

В.: Има ли други рискове за сигурността на потребителите?

О.: Имаме сериозни основания да смятаме, че този проблем не представлява общ риск за сигурността. Доказателството, които сме видели, е ограничено до единично изолирано разкриване на две злонамерени помощни програми, подписани с помощта на сертификата, и показва, че сертификатът не е използван за подписване на масово разпространен злонамерен софтуер.

В.: Ако софтуерът ми не е уязвим поради този проблем, защо трябва да актуализирам?

О.: Adobe издава актуализации за всички засегнати продукти, за да предостави на клиентите софтуерен код, подписан с нов цифров сертификат. За да определите дали за вашата софтуерна инсталация от Adobe е налична актуализация, подписана с нов цифров сертификат, вижте Актуална информация за сертификата за сигурност.

Въздействие върху клиента: Анулиране

В.: Анулирането на сертификата засяга ли софтуера на Adobe на всички платформи?

О.: Не. Анулирането на сертификатите засяга платформата Windows и три приложения на Adobe AIR*, които работят и под Windows, и под Mac OS. Анулирането не засяга никой друг софтуер на Adobe за Mac OS или други платформи.

* Приложенията Adobe Muse и Adobe Story AIR, както и настолните услуги на Acrobat.com

В.: Анулирането на засегнатия сертификат засяга ли поведението на приложения Adobe AIR на трети страни?

О.: Не. Анулирането на сертификата засяга само приложения AIR, които са разработени от Adobe и са подписани със засегнатия сертификат за подписване с код на Adobe. Adobe е в процес на издаване на актуализации за тези приложения, подписани с нов сертификат за подписване с код на Adobe.

В.: Каква ще бъде потребителската практика за клиенти с инсталации на оригинален софтуер на Adobe, подписани със засегнатия сертификат, след като той бъде анулиран?

О.: Клиентите не би трябвало да забележат нищо необичайно по време на процеса на анулиране на сертификата. Някои клиенти, в частност администратори в управляеми среди на Windows, може да се наложи да предприемат определено действие. За да определите дали вие или вашата организация сте засегнати, вижте Актуална информация за сертификата за сигурност.

В.: Ако софтуерът на Adobe не е уязвим и клиентите не би трябвало да забележат нищо необичайно по време на процеса на анулиране на сертификата, защо трябва да актуализирам моя софтуер на Adobe?

О.: Adobe издава актуализации за всички засегнати продукти, за да предостави на клиентите софтуерен код, подписан с нов цифров сертификат. За да определите дали за вашата софтуерна инсталация от Adobe е налична актуализация, подписана с нов цифров сертификат, вижте Актуална информация за сертификата за сигурност.

Този материал е лицензиран под лиценз Creative Commons Attribution-Noncommercial-Share Alike 3.0 Unported  Публикациите в Twitter™ и Facebook не попадат под клаузите на Creative Commons.

Правни бележки   |   Правила за онлайн поверителност