Adobe ha investigado un posible uso inadecuado de un certificado de firma de código de Adobe para Windows. Revocamos el certificado afectado el día 4 de octubre de 2012 para todo el código de software firmado después del 10 de julio de 2012.
Revocación del certificado afectado
P: ¿Por qué Adobe revoca el certificado?
A: Para mantener la confianza en el software genuino de Adobe, revocamos el certificado afectado el 4 de octubre de 2012 para todo el código de software firmado después del 10 de julio de 2012. Estamos en el proceso de emitir actualizaciones firmadas con un nuevo certificado digital para todos los productos afectados.
Explicación de firma de código
P: ¿Qué es un certificado de firma de código?
R: Los certificados de firma de código se utilizan para firmar digitalmente los programas de software. Muchos desarrolladores de software, entre los que se incluye Adobe, firman digitalmente los programas que crean con el fin de asegurar a los clientes que los programas son legítimos y no se han modificado.
P: ¿Cómo funciona la firma de código?
R: Las firmas digitales utilizan la tecnología de cifrado de clave pública para proteger y autenticar código.
- Un programador añade una firma digital a código o contenido mediante una única clave privada exclusiva de un certificado de firma de código.
- Cuando un usuario descarga o encuentra código firmado, el software o la aplicación del sistema del usuario utiliza una clave pública para descifrar la firma.
- El sistema busca un certificado "raíz" con una identidad fiable o que reconoce para autenticar la firma.
- A continuación, el sistema compara el hash utilizado para firmar la aplicación con el hash en la aplicación descargada.
- Si el sistema confía en la raíz y los hashes coinciden, continúa la descarga o la ejecución.
- Si el sistema no confía en la raíz o los hashes no coinciden, interrumpe la descarga con una advertencia o se produce un error de descarga.
P: ¿Se puede usar un certificado de firma de código con fines que no sean la firma de código?
R: No. Todos los certificados digitales llevan una marca que restringe su uso. Este certificado en particular solo se puede utilizar para firmar digitalmente programas. No se pueden utilizar para cifrar datos, firmar documentos o mensajes electrónicos, ni con otro propósito que no sea firmar programas.
Impacto en el cliente - Seguridad
P: ¿Se ha revocado el certificado como resultado de una vulnerabilidad de seguridad o defecto en un producto de Adobe?
R: No. Este problema no afecta a la seguridad del software legítimo de Adobe.
P: ¿Existen otros riesgos de seguridad para los usuarios?
R: Tenemos razones para creer que este problema no supone un riesgo de seguridad general. Las pruebas que hemos visto se limitan a una sola detección aislada de dos utilidades maliciosas firmadas con el certificado e indican que el certificado no fue utilizado para firmar software malicioso generalizado.
P: Si mi software no es vulnerable debido a este problema, ¿por qué necesito realizar la actualización?
R: Adobe va a publicar actualizaciones de todos los productos afectados, para proporcionar a los usuarios código de software firmado con un nuevo certificado digital. Para determinar si existe una actualización firmada con un nuevo certificado digital disponible para su instalación de software de Adobe, consulte Actualizaciones de certificados de seguridad.
Impacto en el cliente - Revocación
P: ¿La revocación del certificado afecta a software de Adobe en todas las plataformas?
R: No. La revocación del certificado afecta a la plataforma Windows y a tres aplicaciones de Adobe AIR* que se ejecutan tanto en Windows como en Mac OS. La revocación no afecta a ningún otro software de Adobe para Mac OS u otras plataformas.
* Aplicaciones de Adobe Muse y Adobe Story AIR, así como otros servicios de escritorio de Acrobat.com
P: ¿La revocación del certificado afectado tiene alguna repercusión en aplicaciones Adobe AIR de terceros?
R: No. La revocación del certificado solo afecta a las aplicaciones AIR desarrolladas por Adobe y firmadas con el certificado de firma de código de Adobe afectado. Adobe está en el proceso de emitir actualizaciones para las aplicaciones firmadas con un nuevo certificado de firma de código de Adobe.
P: ¿Qué notarán como usuarios los clientes con instalaciones de software de Adobe genuino y firmado con el certificado afectado una vez que se revoque este último?
R: Los clientes no deberían observar nada extraordinario durante el proceso de revocación del certificado. Es posible que un pequeño número de clientes, especialmente administradores en entornos administrados de Windows, tenga que tomar ciertas medidas. Para determinar si usted o su organización se han visto afectados, consulte Actualizaciones de certificados de seguridad.
P: Si el software de Adobe no es vulnerable y los clientes no deberían notar nada fuera de lo normal durante el proceso de revocación, ¿por qué necesito actualizar mi software de Adobe?
R: Adobe va a publicar actualizaciones de todos los productos afectados, para proporcionar a los usuarios código de software firmado con un nuevo certificado digital. Para determinar si existe una actualización firmada con un nuevo certificado digital disponible para su instalación de software de Adobe, consulte Actualizaciones de certificados de seguridad.