Adobe ha effettuato accertamenti su ciò che sembra essere un utilizzo improprio di un certificato di firma del codice Adobe per Windows. Abbiamo revocato il certificato interessato il 4 ottobre 2012 per tutto il codice software firmato dopo il 10 luglio 2012.

Revoca del certificato interessato

D: Perché Adobe ha revocato il certificato?

R: Al fine di garantire l'affidabilità del software Adobe autentico, abbiamo revocato il certificato interessato il 4 ottobre 2012 per tutto il codice software firmato dopo il 10 luglio 2012. Stiamo inoltre distribuendo aggiornamenti firmati mediante un nuovo certificato digitale per tutti i prodotti interessati.

Informazioni sulla firma del codice

D: Cos'è un certificato di firma del codice?

R: I certificati di firma del codice vengono utilizzati per la firma digitale dei programmi software. Molti sviluppatori di software, compreso Adobe, appongono una firma digitale ai propri programmi per garantire ai clienti che essi sono legittimi e non sono stati modificati.

D: Come funziona la firma del codice?

R: Le firme digitali utilizzano una tecnologia di cifratura a chiave pubblica per proteggere e autenticare il codice.

  1. Gli sviluppatori aggiungono una firma digitale al codice o al contenuto utilizzando una chiave privata univoca proveniente da un certificato di firma del codice.
  2. Quando un utente scarica o incontra del codice firmato, il software o l'applicazione del sistema dell'utente utilizza una chiave pubblica per decifrare la firma.
  3. Il sistema cerca un certificato radice con un'identità che riconosce o ritiene affidabile per autenticare la firma.
  4. A questo punto, il sistema confronta l'hash utilizzato per firmare l'applicazione con quello dell'applicazione scaricata.
  5. Se il sistema ritiene la radice affidabile e gli hash corrispondono, il download o l'esecuzione del programma possono proseguire.
  6. In caso contrario, il sistema interrompe il download con un avvertimento, oppure il download non va a buon fine.

D: Un certificato di firma del codice potrebbe essere utilizzato per finalità diverse dalla firma del codice?

R: No. Tutti i certificati digitali contengono una marcatura che ne limita l'utilizzo. Nello specifico, questo certificato può essere utilizzato solo per apporre la firma digitale ai programmi. I certificati digitali non possono essere utilizzati per cifrare i dati, firmare documenti o e-mail o per qualsiasi scopo diverso dalla firma dei programmi.

Impatto sui clienti: sicurezza

D: Il certificato verrà revocato in seguito a una vulnerabilità di sicurezza o a un difetto di un prodotto Adobe?

R: No. Il problema non ha alcun impatto sulla sicurezza del software Adobe autentico.

D: Sussistono altri rischi per la sicurezza degli utenti?

R: Abbiamo motivi fondati per ritenere che tale problema non costituisca un rischio per la sicurezza a livello generale. Le prove esaminate sono limitate a un singolo rilevamento isolato di due utilità dannose firmate utilizzando il certificato e indicano che il certificato non è stato utilizzato per firmare malware ampiamente diffuso.

D: Se il mio software non è vulnerabile a questo tipo di attacco, perché devo eseguire l'aggiornamento?

R: Adobe sta distribuendo aggiornamenti relativi a tutti i prodotti interessati per fornire ai clienti codice software firmato utilizzando un nuovo certificato digitale. Per determinare se un aggiornamento firmato con il nuovo certificato digitale è disponibile per l'installazione del software Adobe, consultate Aggiornamenti dei certificati di sicurezza.

Impatto sui clienti: revoca

D: La revoca del certificato interessa il software Adobe su tutte le piattaforme?

R: No. La revoca del certificato interessa la piattaforma Windows e tre applicazioni Adobe AIR* che funzionano sia in Windows sia in Mac OS. La revoca non interessa alcun altro software Adobe per Mac OS o altre piattaforme.

* Applicazioni AIR Adobe Muse e Adobe Story, nonché i servizi desktop Acrobat.com

D: La revoca del certificato interessato è rilevante per le applicazioni Adobe AIR di terze parti?

R: No. La revoca del certificato riguarda solo le applicazioni AIR sviluppate da Adobe e firmate con il certificato di firma del codice Adobe interessato. Adobe sta distribuendo aggiornamenti per tali applicazioni firmati con un nuovo certificato di firma del codice Adobe.

D: Quali saranno le conseguenze per gli utenti con installazioni di software Adobe autentico firmato utilizzando il certificato interessato dopo la revoca?

R: Durante il processo di revoca del certificato, i clienti non dovrebbero riscontrare anomalie. È possibile che alcuni clienti, in particolare gli amministratori in ambienti Windows gestiti, debbano eseguire determinate operazioni. Per determinare se voi o la vostra organizzazione siete interessati dal problema, consultate Aggiornamenti dei certificati di sicurezza.

D: Se il software Adobe non è vulnerabile e i clienti non noteranno anomalie durante il processo di revoca, perché devo aggiornare il software Adobe?

R: Adobe sta distribuendo aggiornamenti relativi a tutti i prodotti interessati per fornire ai clienti codice software firmato utilizzando un nuovo certificato digitale. Per determinare se un aggiornamento firmato con il nuovo certificato digitale è disponibile per l'installazione del software Adobe, consultate Aggiornamenti dei certificati di sicurezza.

Questo prodotto è concesso in licenza in base alla licenza di Attribuzione-Non commerciale-Condividi allo stesso modo 3.0 Unported di Creative Commons.  I post su Twitter™ e Facebook non sono coperti dai termini di Creative Commons.

Note legali   |   Informativa sulla privacy online