„Adobe“ ištyrė tariamai nederamą „Adobe“ kodo prisijungimo sertifikato naudojimą sistemoje „Windows“. 2012 m. spalio 4 d. atšaukėme susijusį sertifikatą visam programinės įrangos kodui, kuriuo pasirašyta po 2012 m. liepos 10 d.
Susijusio sertifikato atšaukimas
Kl. Kodėl „Adobe“ atšaukė sertifikatą?
Ats. Kad išsaugotumėte pasitikėjimą originalia „Adobe“ programine įranga, 2012 m. spalio 4 d. atšaukėme susijusį sertifikatą visam programinės įrangos kodui, kuriuo pasirašyta po 2012 m. liepos 10 d. Šiuo metu leidžiame susijusių produktų atnaujinimus, kurie pasirašyti naudojant naują skaitmeninį sertifikatą.
Kodo pasirašymo paaiškinimas
Kl. Kas yra kodo pasirašymo sertifikatas?
Ats. Kodo pasirašymo sertifikatai naudojami skaitmeniniu būdu pasirašyti programinės įrangos programas. Dauguma programinės įrangos kūrėjų, įskaitant „Adobe“, skaitmeniniu būdu pasirašo savo sukurtas programas, kad užtikrintų klientus, kad programos yra legalios ir nebuvo pakeistos.
Kl. Kaip veikia kodo pasirašymas?
Ats. Skaitmeniniams parašams naudojama vieša raktų kriptografijos technologija, skirta kodui apsaugoti ir autentifikuoti.
- Programos kūrėjas kodui arba turiniu prideda skaitmeninį parašą, naudodamas unikalų privatų raktą iš kodo pasirašymo sertifikato.
- Kai naudotojas atsisiunčia skaitmeninį kodą arba su juo susiduria, naudotojo sistemos programinė įranga arba programa naudoja viešą raktą parašui iššifruoti.
- Sistema ieško „šakninio“ sertifikato su patikima arba atpažįstama tapatybe, kad galėtų autentifikuoti parašą.
- Tada sistema palygina programai pasirašyti naudojamą maišą su atsisiųstos programos maiša.
- Jei sistema įsitikina, kad šaknis ir maiša sutampa, atsisiuntimas arba vykdymas tęsiamas.
- Jei sistema nepasitiki, kad šaknis ir maiša sutampa, sistema nutraukia atsisiuntimą pateikdama įspėjimą arba atsisiųsti nepavyksta.
Kl. Ar kodo pasirašymo sertifikatą galima naudoti kitais tikslais, nei vien kodui pasirašyti?
Ats. Ne. Visi skaitmeniniai sertifikatai turi žymą, kuri apriboja jų naudojimo paskirtį. Šį konkretų sertifikatą galima naudoti tik skaitmeniniam programų pasirašymui. Jų negalima panaudoti duomenims užšifruoti, dokumentams ar el. laiškams pasirašyti, ar daryti dar ką nors kitą, nei pasirašyti programas.
Poveikis klientui: saugumas
Kl. Ar sertifikatas buvo atšauktas dėl saugumo pažeidžiamumo arba dėl „Adobe“ produkto trūkumų?
Ats. Ne. Ši problema neturi įtakos originalios „Adobe“ programinės įrangos saugumui.
Kl. Ar yra kitų saugumo pavojų naudotojams?
Ats. Turime rimtą pagrindą manyti, kad dėl šios problemos nekyla bendro pobūdžio saugumo pavojų. Mūsų matytas įrodymas buvo susijęs tik su vienu atskiru dviejų kenkėjiškų paslaugų programų, pasirašytų naudojant šį sertifikatą, aptikimu, ir tai rodo, kad sertifikatas nebuvo naudojamas plačiai paplitusiai kenkėjiškai programinei įrangai pasirašyti.
Kl. Jei dėl šios problemos mano programinė įranga nėra pažeidžiama, kodėl turiu ją atnaujinti?
Ats. „Adobe“ leidžia atnaujinimus visiems susijusiems produktams, kad klientai gautų programinės įrangos kodą, pasirašytą naujuoju skaitmeniniu sertifikatu. Norėdami nustatyti, ar yra jūsų įdiegtai „Adobe“ programinei įrangai yra atnaujinimas, pasirašytas nauju skaitmeniniu sertifikatu, žr. Saugumo sertifikato atnaujinimai.
Poveikis klientui: atšaukimas
Kl. Ar sertifikato atšaukimas turi įtakos visų platformų „Adobe“ programinei įrangai?
Ats. Ne. Sertifikato atšaukimas yra susijęs su „Windows“ platforma ir trimis „Adobe AIR“ programomis*, kurios veikia „Windows“ ir „Mac OS“. Atšaukimas neturi įtakos jokiai kitai „Adobe“ programinei įrangai, kuri skirta „Mac OS“ ar kitoms platformoms.
* „Adobe Muse“ ir „Adobe Story AIR“ programos bei „Acrobat.com“ darbalaukio paslaugos
Kl. Ar pažeisto sertifikato atšaukimas turi poveikį trečiųjų šalių „Adobe AIR“ programoms?
Ats. Ne. Sertifikato atšaukimas turi įtakos tik „Adobe“ sukurtoms ir susijusiu „Adobe“ kodo pasirašymo sertifikatu pasirašytoms AIR programoms. „Adobe“ vykdo šių programų atnaujinimų, pasirašytų nauju „Adobe“ kodo pasirašymo sertifikatu, leidimą.
Kl. Ką po šio sertifikato atšaukimo patirs klientai, kurie yra įsidiegę originalią „Adobe“ programinę įrangą, pasirašytą naudojant pažeistą sertifikatą?
Ats. Sertifikato atšaukimo metu klientai neturėtų pastebėti nieko neįprasto. Keliems klientams, visų pirma valdomos „Windows“ aplinkos administratoriams, gali tekti imtis tam tikrų veiksmų. Norėdami nustatyti, ar jūsų organizacijai ši problema yra aktuali, žr. temą Saugumo sertifikato atnaujinimai.
Kl. Jei „Adobe“ programinė įranga yra nepažeidžiama ir sertifikato atšaukimo metu klientai neturėtų pastebėti nieko neįprasto, kodėl turėčiau atnaujinti savo „Adobe“ programinę įrangą?
Ats. „Adobe“ leidžia atnaujinimus visiems susijusiems produktams, kad klientai gautų programinės įrangos kodą, pasirašytą naujuoju skaitmeniniu sertifikatu. Norėdami nustatyti, ar yra jūsų įdiegtai „Adobe“ programinei įrangai yra atnaujinimas, pasirašytas nauju skaitmeniniu sertifikatu, žr. Saugumo sertifikato atnaujinimai.