Компания Adobe расследует возможное ненадлежащее использование сертификатов для подписания кода Adobe для Windows. 4 октября 2012 г. мы аннулировали затронутые сертификаты для всех программных кодов, подписанных после 10 июля 2012 г.
Отзыв затронутых сертификатов
В: Почему компания Adobe отозвала сертификат?
О: Чтобы поддержать доверие к подлинному программному обеспечению Adobe, 4 октября 2012 г. мы отозвали затронутые сертификаты для всех программных кодов, подписанных после 10 июля 2012 г. В настоящее время мы подготавливаем выпуск обновлений, подписанных с помощью нового цифрового сертификата, для всех затронутых продуктов.
Объяснение подписания кода
В: Что такое сертификат для подписания кода?
О: Сертификаты для подписания кода используются для цифрового подписания программ. Многие разработчики программного обеспечения, включая Adobe, в цифровой форме подписывают создаваемые программы, чтобы убедить клиентов в том, что программы законны и не были изменены.
В: Как работает подписание кода?
О: Цифровые подписи используют технологию криптографии открытого ключа, чтобы защитить и подтвердить подлинность кода.
- Разработчик добавляет цифровую подпись в код или содержание, используя уникальный закрытый ключ сертификата для подписания кода.
- Когда пользователь загружает или сталкивается с подписанным кодом, системное программное обеспечение или программа пользователя используют открытый ключ для расшифровки подписи.
- Система ищет "корневой" сертификат с идентификатором, которому она доверяет или распознает, чтобы подтвердить подлинность подписи.
- Затем система сравнивает хэш, использованный для подписания программы, с хэшем загруженной программы.
- Если система доверяет корневому сертификату и хэши совпадают, то загрузка или выполнение продолжаются.
- Если система не доверяет корневому сертификату или хэши не совпадают, система прерывает загрузку, выдав предупреждение, или загрузка не удается.
В: Можно ли использовать сертификат подписи для других целей, а не только для подписания кода??
О: Нет. Все цифровые сертификаты имеют маркировку, которая ограничивает сферу их использования. Данный сертификат может использоваться только для цифрового подписания программы. Они не могут использоваться для шифровки данных, подписания документов или электронных писем, или для чего-либо еще, помимо подписания программ.
Воздействие на клиента - система защиты
В: Был ли сертификат аннулирован в результате уязвимости системы защиты или дефекта в продукте Adobe?
О: Нет. Эта проблема не оказывает влияние на систему защиты подлинного программного обеспечения Adobe.
В: Существуют ли другие угрозы безопасности для пользователей?
О: У нас есть веская причина полагать, что эта проблема не представляет собой основную угрозу безопасности. Известные нам факты ограничены единичным случаем подписания двух вредоносных утилит с помощью сертификата и указывают на то, что сертификат не был использован для подписания вредоносных кодов для широкого распространения.
В: Если мое программное обеспечение не уязвимо из-за этой проблемы, зачем мне его обновлять?
О: Компания Adobe выпускает обновления для всех затронутых продуктов, чтобы предоставить клиентам программный код, подписанный с помощью нового цифрового сертификата. Чтобы определить, доступно ли обновление, подписанное с помощью нового цифрового сертификата, для установленного программного обеспечения Adobe, см. раздел «Обновление сертификата безопасности».
Воздействие на клиента - аннулирование
В: Повлияет ли аннулирование сертификата на программное обеспечение Adobe для всех платформ?
О: Нет. Аннулирование сертификата влияет на платформу Windows и три приложения Adobe AIR*, которые запускаются на платформах Windows и Mac OS. Данное аннулирование не влияет на другое программное обеспечение Adobe для Mac OS или других платформ.
* Приложения Adobe Muse и Adobe Story AIR, а также настольные службы Acrobat.com
В: Повлияет ли аннулирование затронутого сертификата на приложения Adobe AIR от третьих сторон?
О: Нет. Аннулирование сертификата влияет только на приложения AIR, разработанные компанией Adobe и подписанные с помощью затронутого сертификата для подписания кода Adobe. В настоящее время мы подготавливаем выпуск обновлений, подписанных с помощью нового цифрового сертификата, для всех затронутых продуктов.
В: Что ожидает клиентов, использующих подлинное программное обеспечение Adobe, подписанное с помощью затронутого сертификата, после аннулирования данного сертификата?
О: В процессе аннулирования сертификата клиенты не должны заметить никаких отклонений в работе. Лишь некоторым категориям клиентов, в частности администраторам в средах на основе Windows, может потребоваться предпринять определенные действия. Чтобы определить, будет ли это влиять на вас или вашу компанию, см. раздел «Обновление сертификата безопасности».
В: Если программное обеспечение Adobe неуязвимо и клиенты не должны замечать никаких отклонений в работе в процессе аннулирования сертификата, почему мне необходимо обновить свое программное обеспечение Adobe?
О: Компания Adobe выпускает обновления для всех затронутых продуктов, чтобы предоставить клиентам программный код, подписанный с помощью нового цифрового сертификата. Чтобы определить, доступно ли обновление, подписанное с помощью нового цифрового сертификата, для установленного программного обеспечения Adobe, см. раздел «Обновление сертификата безопасности».