Adobe untersuchte die unzulässige Verwendung von Adobe-Zertifikaten zur Code-Signierung unter Windows. Wir haben die betroffenen Zertifikate am 4. Oktober 2012 für Software, die mit Code nach dem 10. Juli 2012 signiert wurde, widerrufen.
Betroffenes Zertifikat sperren
F: Warum hat Adobe das Zertifikat gesperrt?
A: Adobe hat das betroffene Zertifikat am 4. Oktober 2012 für den gesamten, nach dem 10. Juli 2012 signierten Softwarecode widerrufen, um das Vertrauen in Originalsoftware von Adobe zu erhalten. Adobe ist dabei, Updates zu veröffentlichen, die mit einem neuen digitalen Zertifikat für alle betroffenen Produkte signiert sind.
Warum wird Programmcode signiert?
F: Was ist ein Codesignaturzertifikat?
A: Codesignaturzertifikate werden verwendet, um Softwareprogramme digital zu signieren. Viele Softwareentwickler, Adobes Softwareentwickler eingeschlossen, versehen die von ihnen erstellten Programme mit einer digitalen Signatur, damit Kunden sichergehen können, dass ein Programm vertrauenswürdig ist und nicht manipuliert worden ist.
F: Wie funktioniert Codesignatur?
A: Digitale Signaturen verwenden Public-Key-Kryptographie-Technologie, um Code zu sichern und zu authentifizieren.
- Ein Entwickler fügt seinem Code eine digitale Signatur mithilfe eines eindeutigen privaten Schlüssels aus einem Codesignaturzertifikat hinzu.
- Wenn ein Benutzer signiertem Code begegnet oder diesen herunterlädt, verwendet das System des Benutzers Software oder Anwendungen, die einen öffentlichen Schlüssel verwenden, um die Signatur zu entschlüsseln.
- Das System sucht nach einem Root-Zertifikat mit einer Identität, die entweder bekannt ist oder als vertrauenswürdig eingestuft wird, um die Signatur zu authentifizieren.
- Das System vergleicht dann den Hash, der verwendet wurde, um die Anwendung zu signieren, mit dem Hash der heruntergeladenen Anwendung.
- Wenn das System dem Stammzertifikat vertraut und die Hashes übereinstimmen, dann wird das Herunterladen oder die Ausführung fortgesetzt.
- Wenn das System dem Root nicht vertraut oder die Hashes nicht übereinstimmen, unterbricht das System die Ausführung bzw. der Download schlägt mit eine Warnung fehl.
F: Könnte ein Codesignatur-Zertifikat für andere Zwecke als Codesignatur verwendet werden?
A: Nein. Alle digitalen Zertifikate enthalten eine Markierung, die beschränkt, wofür dieses Zertifikat benutzt werden kann. Dieses bestimmte Zertifikat kann nur verwendet werden, um Programme digital zu signieren. Es kann nicht verwendet werden, um Daten, Zeichendokumente oder E-Mails zu signieren, oder zu etwas anderem als Programme zu signieren.
Auswirkung auf Kunden: Sicherheit
F: Wird das Zertifikat aufgrund einer Sicherheitsverwundbarkeit widerrufen?
A: Nein. Dieses Problem hat keine Auswirkungen auf die Sicherheit Ihrer Originalsoftware von Adobe.
F: Gibt es sonstige Sicherheitsrisiken für Benutzer?
A: Adobe ist der festen Überzeugung, dass dieses Problem kein allgemeines Sicherheitsrisiko darstellt. Nach bisherigen Erkenntnissen beschränkt sich das Problem auf die Entdeckung von zwei einzelnen, unabhängigen bösartigen Dienstprogrammen, die mit dem Zertifikat signiert wurden. Dies deutet darauf hin, dass keine weite Verbreitung von mit diesem Zertifikat signierter Malware stattgefunden hat.
F: Wenn meine Software deswegen nicht angreifbar ist, warum muss ich sie trotzdem aktualisieren?
A: Adobe veröffentlicht Updates für alle betroffenen Produkte, um Kunden Softwarecode bereitzustellen, der mit einem neuen digitalen Zertifikat signiert wurde. Um festzustellen, ob ein Update, das mit einem neuen digitalen Zertifikat signiert wurde, für Ihre Adobe Software-Installation zur Verfügung steht, lesen Sie Aktualisierungen von Sicherheitszertifikaten.
Auswirkung auf den Kunden: Widerruf
F: Beeinflusst das Widerrufen des Zertifikats Adobe-Software auf allen Plattformen?
A: Nein. Die Rücknahme des Zertifikats wirkt sich auf die Windows-Plattform und drei Adobe AIR-Anwendungen* unter Windows und Mac OS aus. Die Rücknahme wirkt sich nicht auf andere Adobe-Software für Mac OS oder andere Plattformen aus.
* Adobe Muse und Adobe Story AIR-Anwendungen sowie Acrobat.com-Desktop-Versionen
F: Ist das Widerrufen des betroffenen Zertifikats für Adobe AIR-Apps von Drittanbietern von Bedeutung?
A: Nein. Das Widerrufen des Zertifikats wirkt sich nur auf AIR-Apps aus, die von Adobe entwickelt und mit dem betroffenen Codesignaturzertifikat von Adobe signiert wurden. Adobe ist dabei, Updates für diese Apps zu veröffentlichen, die mit einem neuen Codesignaturzertifikat von Adobe signiert wurden.
F: Welche Auswirkungen hat dies für Endnutzer mit Installationen von Adobe-Originalsoftware, die mit dem betroffenen Zertifikat signiert wurden, nachdem es widerrufen wurde?
A: Kunden sollten nichts Ungewöhnliches feststellen, während das Zertifikat widerrufen wird. Eine geringe Anzahl von Kunden, insbesondere Administratoren in verwalteten Windows-Umgebungen, müssen unter Umständen bestimmte Aktionen ausführen. Um festzustellen, ob Sie oder Ihr Unternehmen betroffen sind, erhalten Sie Updates für Sicherheitszertifikate.
F: Wenn Adobe-Software nicht angreifbar ist und Kunden beim Widerrufen nichts Ungewöhnliches feststellen sollten, warum muss ich dann meine Adobe-Software aktualisieren?
A: Adobe veröffentlicht Updates für alle betroffenen Produkte, um Kunden Softwarecode bereitzustellen, der mit einem neuen digitalen Zertifikat signiert wurde. Um festzustellen, ob ein Update, das mit einem neuen digitalen Zertifikat signiert wurde, für Ihre Adobe Software-Installation zur Verfügung steht, lesen Sie Aktualisierungen von Sicherheitszertifikaten.