Adobe heeft onderzocht wat het onrechtmatige gebruik van een Adobe-certificaat voor codeondertekening voor Windows lijkt te zijn. We hebben het betreffende certificaat op 4 oktober 2012 ingetrokken voor alle software die na 10 juli 2012 is ondertekend.
Intrekken van het betreffende certificaat
V: Waarom heeft Adobe het certificaat ingetrokken?
A: Teneinde het vertrouwen in legitieme Adobe-software te behouden, hebben we op 4 oktober 2012 het betreffende certificaat ingetrokken voor alle softwarecode die na 10 juli 2012 is ondertekend. We geven momenteel updates voor alle betreffende producten uit die zijn ondertekend met een nieuw digitaal certificaat.
Codeondertekening nader uitgelegd
V: Wat is een certificaat voor codeondertekening?
A: Certificaten voor codeondertekening worden gebruikt om softwareprogramma's van een digitale handtekening te voorzien. Veel softwareontwikkelaars, waaronder Adobe, voorzien de programma's die ze maken, van een digitale handtekening om klanten te garanderen dat de programma's legitiem zijn en niet zijn gewijzigd.
V: Hoe werkt codeondertekening?
A: Digitale handtekeningen maken gebruik van asymmetrische cryptografie om code te beveiligen en verifiëren.
- Een ontwikkelaar voegt een digitale handtekening aan code of inhoud toe met behulp van een unieke persoonlijke sleutel van een certificaat voor codeondertekening.
- Wanneer een gebruiker ondertekende code downloadt of tegenkomt, gebruikt de systeemsoftware of toepassing van de gebruiker een openbare sleutel om de handtekening te decoderen.
- Het systeem zoekt naar een 'hoofdcertificaat' met een identiteit die wordt vertrouwd of herkend om de handtekening te verifiëren.
- Het systeem vergelijkt vervolgens de hash die is gebruikt om de toepassing te ondertekenen, met de hash op de gedownloade toepassing.
- Als het systeem het hoofdcertificaat vertrouwt en de hashes komen overeen, wordt het programma gedownload of uitgevoerd.
- Als het systeem het hoofdcertificaat niet vertrouwt of de hashes komen niet overeen, mislukt de download of wordt deze onderbroken door een waarschuwing.
V: Kan een certificaat voor codeondertekening ook voor andere doeleinden worden gebruikt?
A: Nee. Alle digitale certificaten hebben een markering waardoor hun gebruik wordt beperkt. Dit specifieke certificaat kan alleen worden gebruikt om programma's digitaal te ondertekenen. Ze kunnen niet worden gebruikt om gegevens te coderen, documenten of e-mailberichten te ondertekenen of iets anders te doen naast het ondertekenen van programma's.
Effect op de klant: beveiliging
V: Wordt het certificaat ingetrokken ten gevolge van een beveiligingskwetsbaarheid of defect in een Adobe-product?
A: Nee. Dit probleem heeft geen invloed op de beveiliging van uw legitieme Adobe-software.
V: Zijn er andere beveiligingsrisico's voor gebruikers?
A: We hebben sterke reden om te geloven dat dit probleem geen algemeen beveiligingsrisico is. Het tot nu toe voorhanden bewijsmateriaal is beperkt tot één afzonderlijk geval van twee schadelijke hulpprogramma's die met het certificaat zijn ondertekend, en geeft aan dat het certificaat niet is gebruikt om wijd verspreide malware te ondertekenen.
V: Als mijn software niet kwetsbaar is voor dit probleem, waarom moet ik dan een update uitvoeren?
A: Adobe geeft updates voor alle producten uit waarop dit probleem van invloed is, zodat klanten softwarecode ontvangen die is ondertekend met een nieuw digitaal certificaat. Raadpleeg Updates van beveiligingscertificaten om te bepalen of een update die is ondertekend met een nieuw digitaal certificaat, voor uw Adobe-software beschikbaar is.
Effect op de klant: intrekking
V: Heeft de intrekking van het certificaat effect op Adobe-software op alle platforms?
A: Nee. Intrekking van het certificaat is van invloed op het Windows-platform en drie Adobe AIR-apps* die op zowel Windows als Mac worden uitgevoerd. De intrekking is niet van invloed op andere Adobe-software voor Mac OS of andere platforms.
* Adobe Muse- en Adobe Story AIR-apps en de Acrobat.com-bureaubladservices
V: Heeft de intrekking van het betreffende certificaat invloed op Adobe AIR-apps van derden?
A: Nee. De intrekking van het certificaat heeft alleen betrekking op AIR-apps die door Adobe zijn ontwikkeld en die zijn ondertekend met het betreffende Adobe-certificaat voor codeondertekening. Adobe geeft momenteel updates voor deze apps uit die zijn ondertekend met een nieuw Adobe-certificaat voor codeondertekening.
V: Wat merkt de klant van installaties van legitieme Adobe-software die is ondertekend met het betreffende certificaat wanneer het certificaat wordt ingetrokken?
A: Tijdens de certificaatintrekking zouden klanten niets ongebruikelijks moeten merken. Een klein aantal klanten, in het bijzonder beheerders in een beheerde Windows-omgeving, moet mogelijk bepaalde handelingen uitvoeren. Raadpleeg Updates van beveiligingscertificaten om te bepalen of dit probleem betrekking heeft op u of uw organisatie.
V: Als Adobe-software niet kwetsbaar is en klanten niets ongebruikelijks moeten merken tijdens het intrekkingsproces, waarom moet ik dan mijn Adobe-software bijwerken?
A: Adobe geeft updates voor alle producten uit waarop dit probleem van invloed is, zodat klanten softwarecode ontvangen die is ondertekend met een nieuw digitaal certificaat. Raadpleeg Updates van beveiligingscertificaten om te bepalen of een update die is ondertekend met een nieuw digitaal certificaat, voor uw Adobe-software beschikbaar is.
Verwante informatie
Aanmelden bij je account