Družba Adobe je raziskala domnevno neprimerno uporabo certifikata za podpisovanje kode Adobe za sistem Windows. Zadevni certifikat smo dne 4. oktobra 2012 preklicali za vse programske kode, podpisane po 10. juliju 2012.

Preklic zadevnega certifikata

V: Zakaj je Adobe preklical certifikat?

A: Da bi ohranili zaupanje v originalno programsko opremo Adobe, smo 4. oktobra 2012 preklicali zadevni certifikat za vse programske kode, podpisane po 10. juliju 2012. Trenutno smo v postopku izdajanja posodobitev, podpisanih z novim digitalnim certifikatom za vse prizadete izdelke.

Razlaga podpisovanja kode

V: Kaj je certifikat za podpisovanje kode?

O: Certifikati za podpisovanje kode se uporabljajo za digitalno podpisovanje programske opreme. Mnogi razvijalci programske opreme, vključno z družbo Adobe, digitalno podpišejo programe, ki jih ustvarijo, da bi strankam zagotovili legitimne programe in da programi niso bili spremenjeni.

V: Kako deluje podpisovanje kode?

O: Digitalni podpisi uporabljajo tehnologijo kriptografije z javnim ključem za zavarovanje in potrditev kode.

  1. Razvijalec z edinstvenim zasebnim ključem iz certifikata za podpisovanje kode doda digitalni podpis kodi ali vsebini.
  2. Ko uporabnik prenese ali naleti na podpisano kodo, sistemska programska oprema ali program uporabnika uporabi javni ključ za dešifriranje podpisa.
  3. Sistem poišče "korenski" certifikat z identiteto, ki ji zaupa ali jo prepozna za potrditev podpisa.
  4. Sistem primerja razprševanje, ki se uporablja za podpis programa, z razprševanjem na prenesenem programu.
  5. Če sistem zaupa korenu in se razprševanja ujemajo, se prenos ali izvajanje nadaljuje.
  6. Če sistem ne zaupa korenu ali se razprševanja ne ujemajo, sistem prekine prenos z opozorilom, ali pa prenos odpove.

V: Ali se certifikat za podpisovanje kode lahko uporabi za druge namene, razen podpisovanja kode?

O: Ne. Vsi digitalni certifikati nosijo oznako, ki omejuje namen njihove uporabe. Ta certifikat se lahko uporabi samo za digitalno podpisovanje programov. Ne more se jih uporabiti za kodiranje podatkov, podpisovanje dokumentov ali elektronskih sporočil ali karkoli drugega, razen podpisovanja programov.

Vpliv na stranke: varnost

V: Ali je bil certifikat preklican kot posledica ranljive točke ali okvare varnostnega sistema v enem od izdelkov družbe Adobe?

O: Ne. Ta zadeva nima nobenega vpliva na varnost originalne programske opreme Adobe.

V: Ali obstajajo tudi druga varnostna tveganja za uporabnike?

O: Imamo zelo utemeljen razlog, da lahko verjamemo, da ta težava ne predstavlja splošnega varnostnega tveganja. Dokazi, ki smo jih videli, so omejeni na eno samo izolirano odkritje dveh škodljivih uoprabniških programov, ki sta bila podpisana z omenjenim certifikatom in indikacije, da certifikat ni bil uporabljen za podpisovanje široko razširjenih zlonamernih programov.

V: Če moj sistem zaradi te zadeve ni ranljiv, zakaj potem potrebujem posodobitev?

O: Družba Adobe izdaja posodobitve za vse prizadete izdelke, da bi strankam priskrbela programsko kodo, podpisano z novim digitalnim certifikatom. Da bi ugotovili, ali je za vašo programsko namestitev Adobe na voljo posodobitev, ki uporablja novi digitalni certifikat, si oglejte Posodobitve varnostnega certifikata.

Vpliv na stranke - preklic

V: Ali preklic certifikata zadeva vso programsko opremo Adobe na vseh platformah?

O: Ne. Preklic certifikata vpliva na platformo Windows in tri programe Adobe AIR*, ki delujejo na platformah Windows in Mac OS. Preklic ne vpliva na katero koli drugo programsko opremo Adobe za platformo Mac OS ali druge platforme.

* Programi Adobe Muse in Adobe Story AIR ter namizne storitve Acrobat.com

V: Ali ima preklic zadevnega certifikata kakršne koli posledice za tretje stranke aplikacij Adobe AIR?

O: Ne. Preklic certifikata vpliva samo na aplikacije AIR, ki jih je razvila družba Adobe in podpisala z zadevnim certifikatom za podpisovanje kode Adobe. Družba Adobe je v postopku izdaje posodobitev za aplikacije, podpisane z novim certifikatom za podpisovanje kode Adobe.

V: Kakšne bodo uporabniške izkušnje z namestitvami originalne programske opreme Adobe, ki je podpisana z zadevnim certifikatom po tem, ko je ta preklican?

O: Stranke med postopkom preklica certifikata ne bi smele opaziti nič nenavadnega. Nekaj uporabnikov, še posebej administratorjev v upravljanih okoljih Windows, bo moralo izvesti določena dejanja. Da bi ugotovili, ali ste vi oziroma vaša organizacija prizadeti, si oglejte Posodobitve varnostnega certifikata.

V: Če programska oprema Adobe ni ranljiva in stranke med postopkom preklica ne bodo opazile nič nenavadnega, zakaj moram posodobiti svojo programsko opremo Adobe?

O: Družba Adobe izdaja posodobitve za vse prizadete izdelke, da bi strankam priskrbela programsko kodo, podpisano z novim digitalnim certifikatom. Da bi ugotovili, ali je za vašo programsko namestitev Adobe na voljo posodobitev, ki uporablja novi digitalni certifikat, si oglejte Posodobitve varnostnega certifikata.

Za ta izdelek je bila izdana neprenosljiva licenca za priznanje avtorstva, nekomercialno uporabo in skupno rabo pod enakimi pogoji 3.0  Objav v storitvah Twitter™ in Facebook ne urejajo pogoji pogodbe Creative Commons.

Pravna obvestila   |   Pravilnik o zasebnosti v spletu