Adobe undersøkte det som ser ut til å være uriktig bruk av et Adobe-kodesigneringssertifikat for Windows. 4. oktober 2012 opphevet vi det berørte sertifikatet for all programvarekode signert etter 10. juli 2012.
Trekke tilbake det berørte sertifikatet
Sp: Hvorfor trakk Adobe tilbake sertifikatet?
Sv:For å opprettholde tilliten til original Adobe-programvare opphevet vi det berørte sertifikatet 4. oktober 2012 for all programvarekode signert etter 10. juli 2012. Vi er i gang med utgivelsen av oppdateringer signert med et nytt digitalt sertifikat for alle berørte produkter.
Forklaring av kodesignering
Sp: Hva er et kodesigneringssertifikat?
Sv: Kodesigneringssertifikater brukes til digital signering av programvare. Mange programvareutviklere, inkludert Adobe, signerer programmene de utvikler, digitalt, for å forsikre kunder om at programmene er legitime og at de ikke har blitt endret.
Sp: Hvordan fungerer kodesignering?
Sv: Digitale signaturer bruker en krypteringsteknologi med offentlig nøkkel for å sikre og godkjenne kode.
- En utvikler legger til en digital signatur til kode eller innhold med en unik privat nøkkel fra et kodesigneringssertifikat.
- Når en bruker laster ned eller kommer over signert kode, vil brukerens systemprogramvare eller program bruke en offentlig nøkkel for å dekryptere signaturen.
- Systemet ser etter et "rot"-sertifikat med en identitet som det stoler på eller gjenkjenner for å godkjenne signaturen.
- Systemet sammenlikner så nummerverdien brukt for å signere programmet, med nummerverdien på det nedlastede programmet.
- Hvis systemet stoler på roten, og nummerverdiene stemmer overens, kan nedlastingen eller utførelsen fortsette.
- Hvis systemet ikke stoler på roten, eller nummerverdiene ikke stemmer overens, vil systemet avbryte nedlastingen med en advarsel, eller så mislykkes nedlastingen.
Spm: Kan et kodesigneringssertifikat brukes til noe annet enn kodesignering?
Sv: Nei. Alle digitale sertifikater bærer en markør som begrenser deres bruk. Dette sertifikatet kan kun brukes for digital signering av programmer. De kan ikke brukes til å kryptere data, signere dokumenter eller e-post eller gjøre noe annet enn å signere programmer.
Kundepåvirkning – Sikkerhet
Sp: Ble sertifikatet opphevet på grunn av en sikkerhetssårbarhet eller en feil i et Adobe-produkt?
Sv: Nei. Dette problemet har ingen innvirking på sikkerheten til ekte Adobe-programvare.
Sp: Eksisterer det andre sikkerhetsrisikoer for brukere?
Sv: Vi har god grunn til å tro at dette problemet ikke utgjør en generell sikkerhetsrisiko. Bevisene vi har sett, har vært begrenset til et enkelt isolert funn av to skadelige verktøy signert med sertifikatet, og indikerer at sertifikatet ikke ble brukt til å signere utbredte skadeprogrammer.
Sp: Hvis min programvare ikke er i faresonen på grunn av dette, hvorfor skal jeg oppdatere?
Sv: Adobe utgir oppdateringer for alle de påvirkede produktene for å gi kunder programvarekode signert med et nytt digitalt sertifikat. Hvis du vil finne ut om en oppdatering signert med et nytt digitalt sertifikat er tilgjengelig for din Adobe-programvareinstallasjon, seSikkerhetssertifikatoppdateringer.
Kundepåvirkning – Inndragelse
Sp: Påvirker inndragelsen av sertifikatet Adobe-programmer på alle plattformer?
Sv: Nei. Sertifikatinndragelsen påvirker Windows-plattformer og tre Adobe AIR-applikasjoner* som kjører på både Windows og Mac OS. Inndragelsen påvirker ingen annen Adobe-programvare for Mac OS eller andre plattformer.
* AIR-applikasjonene Adobe Muse og Adobe Story samt Acrobat.com skrivebordstjenester
Sp: Har inndragelsen av det berørte sertifikatet noen påvirking på tredjeparts Adobe AIR-apper?
Sv: Nei. Inndragelsen av sertifikatet påvirker kun AIR-apper utviklet av Adobe og signert med det berørte Adobe-kodesigneringssertifikatet. Adobe er i gang med utgivelsen av oppdateringer for de appene som er signert med et nytt Adobe-kodesigneringssertifikat.
Sp: Hva vil kundeerfaringen være for kunder med installasjoner av ekte Adobe-programmer som er signert med det berørte sertifikatet etter det blir opphevet?
Sv: Kunder skal ikke merke noe utover det vanlige under sertifikatinndragelsesprosessen. Et par kunder, særlig administratorer i forvaltede Windows-miljøer, må kanskje måtte utføre bestemte handlinger. Hvis du vil finne ut om din organisasjon har blitt påvirket, seSikkerhetssertifikatoppdateringer.
Sp: Hvis Adobe-programmer ikke er sårbare og kunder ikke skal merke noe utover det vanlige under inndragelsesprosessen, hvorfor behøver jeg oppdatere mine Adobe-programmer?
Sv: Adobe utgir oppdateringer for alle de påvirkede produktene for å gi kunder programvarekode signert med et nytt digitalt sertifikat. Hvis du vil finne ut om en oppdatering signert med et nytt digitalt sertifikat er tilgjengelig for din Adobe-programvareinstallasjon, seSikkerhetssertifikatoppdateringer.
Logg på kontoen din