Az Adobe megvizsgálta az esetet, melyből kiderült, hogy a Windows operációs rendszerben az Adobe egyik kódaláíró tanúsítványával visszaéltek. 2012. október 4-én visszahívtuk a 2012. július 10-e óta aláírt összes szoftverkódra vonatkozó érintett tanúsítványt.

Az érintett tanúsítványok visszahívása

K: Miért hívta vissza az Adobe a tanúsítványt?

V: A valódi Adobe szoftverek iránti bizalom fenntartása érdekében úgy tervezzük, hogy 2012. október 4-én visszahívtuk a 2012. július 10-e óta aláírt összes szoftverkódra vonatkozóan az érintett tanúsítványt. Hamarosan kiadjuk az összes érintett termékhez a frissítéseket az új digitális tanúsítvánnyal.

A kódaláírás ismertetése

K: Mi az a kódaláíró tanúsítvány?

V: A kódaláíró tanúsítványok a szoftverprogramok digitális aláírására használhatók. Számos szoftverfejlesztő – mint például az Adobe – digitálisan írja alá az általuk fejlesztett termékeket. Így biztosítják az ügyfelek részére, hogy a programok legálisak, és azokat senki sem módosította.

K: Hogyan történik a kódaláírás?

V: A digitális aláírás nyilvános kulcsú titkosítást alkalmaz a kód biztonságossá tételéhez és hitelesítéséhez.

  1. A fejlesztő digitális aláírással látja el a kódot vagy a tartalmat a kódaláíró tanúsítványból származó egyedi titkos kulcs segítségével.
  2. Ha a felhasználó letölti az aláírt kódot vagy ilyennel találkozik, a felhasználó rendszerszoftvere vagy alkalmazása a nyilvános kulcs segítségével dekódolja az aláírást.
  3. A rendszer olyan „gyökér” tanúsítványt keres, amelyet az aláírás hitelesítéséhez megbízhatónak talál vagy felismer.
  4. A rendszer ezután összehasonlítja az alkalmazás aláírásához használt lenyomatot és a letöltött alkalmazás lenyomatát.
  5. Amennyiben a rendszer megbízhatónak találja a gyökeret és a lenyomatok egyeznek, folytatódhat a letöltés és a végrehajtás.
  6. Ha a rendszer nem tartja megbízhatónak a gyökeret, vagy a lenyomatok nem egyeznek, a letöltés figyelmeztetéssel félbeszakad vagy sikertelenül befejeződik.

K: A kódaláíró tanúsítványt kódaláíráson kívül másra is fel lehet használni?

V: Nem. Minden digitális tanúsítványhoz tartozik egy jelzés, amely korlátozza a tanúsítvány felhasználási körét. Ez az adott tanúsítvány kizárólag programok digitális aláírására használható. Nem használható adatok titkosítására, dokumentumok vagy e-mail üzenetek aláírására vagy bármi másra a programok aláírása kivételével.

Ügyfelekre gyakorolt hatás: Biztonság

K: A tanúsítványt biztonsági rés vagy valamely Adobe termék hibája miatt hívták vissza?

V: Nem. Az eset nem befolyásolja az eredeti Adobe szoftverek biztonságos voltát.

K: Egyéb biztonsági kockázattal is jár ez a felhasználók számára??

V: Meggyőződésünk, hogy a probléma nem jelent általános biztonsági kockázatot. A rendelkezésre álló bizonyítékok szerint mindössze egy esetben két rosszindulatú segédprogramhoz használták a tanúsítványt, és nincsen szó arról, hogy a tanúsítványt széles körben elterjedt rosszindulatú kód aláírására használták volna.

K: Ha a szoftverem nem támadható ezen probléma miatt, miért kell frissítenem?

V: Az Adobe minden érintett termékhez kiad frissítést, hogy az ügyfelek rendelkezésére álljon az új digitális tanúsítvánnyal aláírt szoftverkód. Ha szeretné megtudni, hogy a telepített Adobe szoftveréhez elérhető-e frissítés az új digitális tanúsítvánnyal, olvassa el a Biztonsági tanúsítványok frissítése című részt.

Ügyfelekre gyakorolt hatás: Visszahívás

K: A tanúsítvány visszahívása operációs rendszertől függetlenül minden Adobe szoftvert érint?

V: Nem. A tanúsítvány visszahívása a Windows operációs rendszert, valamint három Adobe AIR alkalmazást* érint, amelyek Windows és Mac OS rendszeren is futtathatók. A visszahívás nem érint más Adobe szoftvert sem Mac OS, sem más platformon.

* Adobe Muse és Adobe Story AIR alkalmazások, valamint az Acrobat.com asztali szolgáltatásai

K: A szóban forgó tanúsítvány visszahívása érinti a harmadik féltől származó Adobe AIR alkalmazásokat?

V: Nem. A tanúsítvány visszahívása csak az Adobe által fejlesztett és az érintett Adobe kódaláíró tanúsítvány segítségével aláírt AIR alkalmazásokat érinti. Az Adobe az Adobe új kódaláíró tanúsítványával aláírt alkalmazásokhoz hamarosan frissítést ad ki.

K: Mit fog tapasztalni a felhasználó, aki azzal az eredeti Adobe szoftverrel rendelkezik, amelyet az érintett tanúsítvánnyal írtak alá, ha azt visszavonják?

V: Az ügyfelek semmi szokatlant nem fognak észlelni a tanúsítvány visszavonásakor. Néhány ügyfélnek – elsősorban a Windows-környezetet kezelő rendszergazdáknak – lesz szükségük további teendőkre. Ha szeretné megtudni, hogy szervezetét érinti-e probléma, tekintse át a Biztonsági tanúsítványok frissítése című részt.

K: Ha az Adobe szoftverei nem támadhatók, és az ügyfelek semmi szokatlant nem fognak észlelni a tanúsítvány visszavonásakor, miért kell mégis frissítenem az Adobe szoftvert?

V: Az Adobe minden érintett termékhez kiad frissítést, hogy az ügyfelek rendelkezésére álljon az új digitális tanúsítvánnyal aláírt szoftverkód. Ha szeretné megtudni, hogy a telepített Adobe szoftveréhez elérhető-e frissítés az új digitális tanúsítvánnyal, olvassa el a Biztonsági tanúsítványok frissítése című részt.

Ez a munka a Creative Commons Nevezd meg!-Ne add el!-Így add tovább! 3.0 Unported licenc alatt lett közzétéve.  A Twitter™ és Facebook közzétételeket a Creative Commons jogi feltételei nem szabályozzák.

Jogi közlemények   |   Online adatvédelmi nyilatkozat