A Adobe investigou o que parecia ser o uso impróprio de um certificado de assinatura de código da Adobe para Windows. Anulamos no dia 4 de outubro de 2012 o certificado afetado de todos os códigos de software assinados depois do dia 10 de julho de 2012.
Revogar o certificado afetado
P: Por que a Adobe revogou o certificado?
R: Para manter a confiança no software genuíno da Adobe, nós revogamos o certificado afetado em 4 de outubro de 2012 para todo o código assinado após 10 de julho de 2012. Estamos emitindo atualizações assinadas utilizando um novo certificado digital para todos os produtos afetados.
Explicação da assinatura de código
P: O que é um certificado de assinatura de código?
R: Os certificados de assinatura de código são usados para assinar programas digitalmente. Muitos desenvolvedores de software, incluindo a Adobe, assinam digitalmente os programas que criam para garantir aos clientes que os programas são legítimos e não foram modificados.
P: Como funciona a assinatura de código?
R: As assinaturas digitais usam a tecnologia de criptografia de chave pública para proteger e autenticar o código.
- Um desenvolvedor adiciona uma assinatura digital a um código ou conteúdo usando uma chave privada única de um certificado de assinatura de código.
- Quando um usuário baixa ou encontra o código assinado, o software de sistema do usuário ou o aplicativo usam uma chave pública para decifrar a assinatura.
- O sistema procura um certificado "raiz" com uma identidade na qual confia ou reconhece para autenticar a assinatura.
- Em seguida, o sistema compara o hash usado para assinar o aplicativo com o hash no aplicativo baixado.
- Se o sistema confiar na raiz e os hashes coincidirem, o download ou a execução continuam.
- Se o sistema não confiar na raiz ou os hashes não coincidirem, o sistema interrompe o download com um aviso ou o download falha.
P: O certificado de assinatura de código pode ser usado para finalidades que não sejam a assinatura do código?
R: Não. Todos os certificados digitais contêm uma marcação que restringe a finalidade do uso. Este certificado específico somente pode ser usado para assinar programas digitalmente. Não pode ser usado para criptografar dados, assinar documentos ou e-mails, ou fazer algo mais que não seja a assinatura de programas.
Impacto no cliente: Segurança
P: O certificado foi anulado em consequência de uma vulnerabilidade de segurança ou defeito em um produto da Adobe?
R: Não. Esta questão não tem nenhum impacto na segurança do software Adobe legítimo.
P: Há outros riscos de segurança para os usuários?
R: Temos fortes motivos para acreditar que esta questão não apresenta um risco de segurança geral. As provas que vimos limitaram-se a uma descoberta isolada única de dois utilitários maliciosos assinados utilizando o certificado e indicam que o certificado não foi usado para assinar malware amplamente difundido.
P: Se o meu software não está vulnerável por causa deste problema, por que preciso atualizar?
R: A Adobe está emitindo atualizações de todos os produtos afetados para fornecer aos clientes código de software assinado utilizando um novo certificado digital. Para determinar se uma atualização assinada com um novo certificado digital está disponível para a instalação do software da Adobe, consulte Atualizações do certificado de segurança.
Impacto no client: Anulação
P: A anulação do certificado afeta o software Adobe em todas as plataformas?
R: Não. A anulação do certificado afeta a plataforma do Windows e três aplicativos* Adobe AIR que são executados no Windows e no Mac OS. A anulação não afeta nenhum outro software Adobe para Mac OS ou outras plataformas.
* Aplicativos do Adobe Muse e Adobe Story AIR, bem como serviços de área de trabalho do Acrobat.com.
P: A anulação do certificado afetado tem alguma ligação com aplicativos do Adobe AIR de terceiros?
R: Não. A anulação do certificado afeta somente aplicativos do AIR desenvolvidos pela Adobe e assinados utilizando o certificado de assinatura de código da Adobe afetado. A Adobe está emitindo atualizações dos aplicativos assinados com um novo certificado de assinatura de código da Adobe.
P: Qual será a experiência do usuário para clientes com instalações do software Adobe genuíno assinado utilizando o certificado afetado depois de ser anulado?
R: Os clientes não devem notar nada fora do normal durante o processo de anulação do certificado. Alguns clientes, em especial administradores em ambientes gerenciados do Windows, talvez precisam tomar alguma medida. Para determinar se você ou sua organização são afetados, consulte Atualizações do certificado de segurança.
P: Se o software Adobe não é vulnerável e os clientes não devem notar nada fora do normal durante o processo de anulação, por que preciso atualizar o meu software Adobe?
R: A Adobe está emitindo atualizações de todos os produtos afetados para fornecer aos clientes código de software assinado utilizando um novo certificado digital. Para determinar se uma atualização assinada com um novo certificado digital está disponível para a instalação do software da Adobe, consulte Atualizações do certificado de segurança.