Firma Adobe zbadała sprawę domniemanego bezprawnego użycia certyfikatu do podpisywania kodu firmy Adobe przeznaczonego do środowiska Windows. Ten certyfikat został unieważniony 4 października 2012 r.; dotyczy to każdego kodu oprogramowania podpisanego po 10 lipca 2012 r.

Unieważnienie certyfikatu

P: Dlaczego firma Adobe unieważniła ten certyfikat?

O: W trosce o zaufanie do oryginalności oprogramowania Adobe firma unieważniła ten certyfikat z dniem 4 października 2012 r. na każdy kod oprogramowania podpisany po 10 lipca 2012 r. Obecnie są publikowane podpisane nowym certyfikatem cyfrowym aktualizacje wszystkich produktów, których dotyczy ta akcja.

Objaśnienie mechanizmu podpisywania kodu

P: Co to jest certyfikat do podpisywania kodu?

O: Certyfikaty do podpisywania kodu służą do opatrywania produktów oprogramowania podpisem elektronicznym. Wiele osób i firm piszących oprogramowanie, w tym firma Adobe, podpisuje cyfrowo tworzone przez siebie programy, aby klienci wiedzieli, że są to prawdziwe programy, które nie zostały zmodyfikowane.

P: Jak działa podpisywanie kodu?

O: Kod jest zabezpieczany i uwierzytelniany za pomocą podpisów cyfrowych opartych na technice kryptografii klucza publicznego.

  1. Programista dodaje do kodu lub zawartości podpis cyfrowy przy użyciu niepowtarzalnego klucza prywatnego zawartego w certyfikacie do podpisywania kodu.
  2. Gdy użytkownik pobierze lub napotka podpisany kod, podpis jest odszyfrowywany przez system lub aplikację użytkownika przy użyciu klucza publicznego.
  3. System uwierzytelnia podpis, szukając certyfikatu „głównego” zawierającego tożsamość, której ufa lub którą rozpoznaje.
  4. Następnie system porównuje skrót (hash), którym aplikacja jest podpisana, ze skrótem w pobranej aplikacji.
  5. Jeśli system ufa certyfikatowi głównemu i skróty są takie same, pobieranie lub wykonywanie jest kontynuowane.
  6. Jeśli system nie ufa certyfikatowi głównemu lub skróty się różnią, system przerywa pobieranie, aby wyświetlić ostrzeżenie, lub pobieranie nie następuje.

P: Czy certyfikat podpisywania kodu może zostać użyty do innych celów niż podpisanie kodu?

O: Nie. W każdym certyfikacie cyfrowym jest zaznaczone, do czego można go użyć. Tego certyfikatu można użyć wyłącznie do cyfrowego podpisywania programów. Nie można go użyć do szyfrowania danych, podpisywania dokumentów lub wiadomości e-mail ani niczego innego poza podpisywaniem programów.

Wpływ na klientów: zabezpieczenia

P: Czy certyfikat jest odwoływany ze względu na lukę w zabezpieczeniach lub usterkę produktu firmy Adobe?

O: Nie. Ta sprawa nie ma żadnego wpływu na zabezpieczenia oryginalnego oprogramowania firmy Adobe.

P: Czy stwarza to jakiekolwiek inne zagrożenia dla użytkowników?

O: Jesteśmy mocno przekonani o tym, że ta sprawa nie stwarza ogólnego zagrożenia. Dotychczas został wykryty tylko jeden odosobniony przypadek dwóch szkodliwych programów narzędziowych podpisanych tym certyfikatem i nie stwierdzono żadnych dowodów na użycie certyfikatu do podpisania powszechnie rozprzestrzenianego szkodliwego oprogramowania.

P: Jeśli ta sprawa nie zagraża mojemu oprogramowania, to po co mi aktualizacja?

O: Firma Adobe publikuje aktualizacje wszystkich produktów objętych tą akcją, aby klienci mieli kod oprogramowania podpisany nowym certyfikatem cyfrowym. Na liście Aktualizacje certyfikatu zabezpieczeń można sprawdzić, czy do posiadanego zainstalowanego oprogramowania Adobe jest dostępna aktualizacja podpisana nowym certyfikatem cyfrowym.

Wpływ na klientów: unieważnienie

P: Czy unieważnienie certyfikatu dotyczy oprogramowania firmy Adobe na wszystkich platformach?

O: Nie. Unieważnienie certyfikatu ma wpływ na platformę Windows oraz trzy aplikacje* Adobe AIR działające zarówno w systemie Windows, jak i Mac OS. Unieważnienie nie ma wpływu na pozostałe oprogramowanie firmy Adobe działające w systemie Mac OS lub na innych platformach.

* Aplikacje Adobe Muse i Adobe Story działające w środowisku AIR oraz usługi lokalne Acrobat.com

P: Czy unieważnienie certyfikatu ma jakikolwiek wpływ na aplikacje innych firm działające w środowisku Adobe AIR?

O: Nie. Unieważnienie certyfikatu dotyczy tylko aplikacji środowiska AIR opracowanych przez firmę Adobe i podpisanych tym konkretnym certyfikatem do podpisywania kodu firmy Adobe. Firma Adobe publikuje obecnie aktualizacje tych aplikacji podpisane nowym certyfikatem do podpisywania kodu firmy Adobe.

P: Co spotka użytkowników oryginalnych produktów oprogramowania firmy Adobe podpisanych tym certyfikatem, gdy zostanie on unieważniony?

O: Użytkownicy nie powinni napotkać niczego nadzwyczajnego w trakcie procesu unieważniania certyfikatu. Pewne działania będą musieli podjąć tylko wybrani klienci, zwłaszcza administratorzy pracujący w zarządzanych środowiskach Windows. Informacje o tym, czy w danej firmie należy wykonać te działania, można uzyskać z listy Aktualizacje certyfikatu zabezpieczeń.

P: Skoro oprogramowanie firmy Adobe jest bezpieczne i klienci nie powinni napotkać niczego nadzwyczajnego w trakcie procesu unieważniania, to po co aktualizować oprogramowanie firmy Adobe?

O: Firma Adobe publikuje aktualizacje wszystkich produktów objętych tą akcją, aby klienci mieli kod oprogramowania podpisany nowym certyfikatem cyfrowym. Na liście Aktualizacje certyfikatu zabezpieczeń można sprawdzić, czy do posiadanego zainstalowanego oprogramowania Adobe jest dostępna aktualizacja podpisana nowym certyfikatem cyfrowym.

Ta zawartość jest licencjonowana na warunkach licencji Creative Commons Attribution-Noncommercial-Share Alike 3.0 Unported License  Posty z serwisów Twitter™ i Facebook nie są objęte licencją Creative Commons.

Informacje prawne   |   Zasady prywatności online