Adobe tutki epäiltyä Adoben koodin allekirjoitussertifikaatin väärinkäytöltä näyttävää toimintaa Windowsissa. Kumosimme mainitun sertifikaatin 4.10.2012 kaikista ohjelmistokoodeista, jotka oli allekirjoitettu 10.7.2012 jälkeen.

Varmenteen, johon väärinkäyttö vaikutti, kumoaminen

K: Miksi Adobe kumosi varmenteen?

A: Jotta voimme pitää yllä luottamuksen aitoihin Adobe-ohjelmistoihin, kumoamme mainitun sertifikaatin 4.10.2012 kaikista ohjelmistokoodeista, jotka on allekirjoitettu 10.7.2012 jälkeen. Valmistelemme uudella digitaalisella sertifikaatilla allekirjoitettuja päivityksiä kaikille tuotteille, joihin asia vaikuttaa.

Tietoa koodin allekirjoittamisesta

K: Mikä on koodin allekirjoitussertifikaatti?

V: Koodin allekirjoitussertifikaatteja käytetään ohjelmistojen digitaalisissa allekirjoituksissa. Monien muiden ohjelmistovalmistajien tapaan Adobe allekirjoittaa kehittämänsä ohjelmat, jolloin asiakkaat voivat olla varmoja ohjelmien laillisuudesta ja koskemattomuudesta.

K: Kuinka koodin allekirjoitus toimii?

V: Digitaalisissa allekirjoituksissa käytetään julkisen avaimen salausta, joka turvaa ja varmentaa koodin.

  1. Ohjelmistokehittäjä lisää koodiin tai sisältöön digitaalisen allekirjoituksen käyttämällä koodin allekirjoitussertifikaatissa olevaa yksilöllistä salausavainta.
  2. Kun käyttäjä lataa tai kohtaa allekirjoitetun koodin, käyttäjän järjestelmäohjelma tai sovellus purkaa allekirjoituksen salauksen julkisella avaimella.
  3. Järjestelmä etsii luotettavaa tai tunnistettavaa juurisertifikaattia, jolla allekirjoitus voidaan varmentaa.
  4. Järjestelmä vertaa sitten sovelluksen allekirjoituksen hajautusta ladatun sovelluksen hajautukseen.
  5. Jos järjestelmä luottaa juurisertifikaattiin ja hajautukset täsmäävät, lataaminen tai suorittaminen jatkuu.
  6. Jos järjestelmä ei luota juurisertifikaattiin tai jos hajautukset eivät täsmää, järjestelmä keskeyttää lataamisen virheilmoitukseen tai lataaminen epäonnistuu.

K: Voiko sertifikaattia käyttää muihin tarkoituksiin koodin allekirjoituksen lisäksi?

V: Ei. Kaikissa digitaalisissa sertifikaateissa on merkintä, joka rajoittaa niiden käyttötarkoitusta. Mainittua sertifikaattia voi käyttää vain sovellusten digitaalisissa allekirjoituksissa. Sertifikaattia ei voi käyttää tietojen salaamiseen tai asiakirjojen tai sähköpostiviestien allekirjoittamiseen tai mihinkään muuhun käyttötarkoitukseen ohjelmien allekirjoittamisen lisäksi.

Asiakasvaikutukset: Tietoturva

K: Kumottiinko sertifikaatti Adobe-tuotteessa ilmenneen tietoturva-aukon tai vian vuoksi?

V: Ei. Ongelma ei vaikuta aitojen Adobe-ohjelmistojen turvallisuuteen.

K: Liittyykö asiaan muita tietoturvariskejä käyttäjille?

V: Meillä on vahva syy uskoa, että asiasta ei aiheudu yleistä tietoturvariskiä. Olemme saaneet todisteita vain yhdestä yksittäisestä tapauksesta, jossa kaksi haittaohjelmaa oli allekirjoitettu sertifikaatilla. Todisteiden valossa sertifikaattia ei käytetty laajamittaiseen haittaohjelmien allekirjoittamiseen.

K: Jos tietoturva-aukko ei vaikuta ohjelmistooni, miksi se pitää päivittää?

V: Adobe toimittaa päivitykset kaikille tuotteille, joihin asia vaikuttaa. Asiakkaat saavat ohjelmistokoodin, joka on allekirjoitettu käyttämällä uutta digitaalista sertifikaattia. Jos haluat selvittää, onko Adobe-ohjelmaasi saatavilla uudella digitaalisella sertifikaatilla allekirjoitettu päivitys, tutustu artikkeliin Suojaussertifikaattipäivitykset.

Asiakasvaikutukset: Kumoaminen

K: Vaikuttaako sertifikaatin kumoaminen kaikkien alustojen Adobe-ohjelmistoihin?

V: Ei. Sertifikaatin kumoaminen vaikuttaa Windows-alustaan sekä kolmeen Adobe AIR -ohjelmaan*, jotka toimivat sekä Windows- että Mac OS -käyttöjärjestelmässä. Sertifikaatin kumoaminen ei vaikuta muihin Mac OS -käyttöjärjestelmään tai muihin alustoihin asennettuihin Adobe-ohjelmistoihin.

* Adobe Muse- ja Adobe Story AIR -ohjelmat sekä Acrobat.com-työpöytäpalvelut

K: Onko sertifikaatin kumoamisella vaikutusta ulkopuolisten toimittajien Adobe AIR -sovelluksiin?

V: Ei. Sertifikaatin kumoaminen vaikuttaa vain Adoben kehittämiin AIR-sovelluksiin, jotka on allekirjoitettu Adobe-koodin allekirjoitussertifikaatilla, johon vaikutus kohdistuu. Adobe valmistelee päivityksiä sovelluksille, jotka on allekirjoitettu uudella Adobe-koodin allekirjoitussertifikaatilla.

K: Mitä seurauksia sertifikaatin kumoamisella on asiakkaille, jotka ovat asentaneet sertifikaatilla allekirjoitetun aidon Adobe-ohjelmiston, johon kumoaminen vaikuttaa?

V: Sertifikaatin kumoamisprosessi ei vaikuta asiakkaiden tuotteisiin. Joidenkin asiakkaiden, erityisesti hallinnoitujen Windows-ympäristöjen järjestelmänvalvojien, on mahdollisesti suoritettava tiettyjä toimenpiteitä. Jos haluat selvittää, vaikuttaako asia sinuun tai yritykseesi, tutustu artikkeliin Suojaussertifikaattipäivitykset.

K: Jos asiasta ei seuraa tietoturvariskiä Adobe-ohjelmistolleni ja sertifikaatin kumoamisprosessi ei vaikuta asiakkaiden tuotteisiin, miksi Adobe-ohjelmistoni on päivitettävä?

V: Adobe toimittaa päivitykset kaikille tuotteille, joihin asia vaikuttaa. Asiakkaat saavat ohjelmistokoodin, joka on allekirjoitettu käyttämällä uutta digitaalista sertifikaattia. Jos haluat selvittää, onko Adobe-ohjelmaasi saatavilla uudella digitaalisella sertifikaatilla allekirjoitettu päivitys, tutustu artikkeliin Suojaussertifikaattipäivitykset.

Lisensoitu Creative Commons Attribution-Noncommercial-Share Alike 3.0 Unported License -lisenssin mukaan.  Creative Commons -lisenssien ehdot eivät koske Twitter™- ja Facebook-viestejä.

Lakisääteiset ilmoitukset   |   Online-tietosuojakäytäntö