Adobe 調查了一起疑似在 Windows 不當使用 Adobe 程式碼簽署憑證的事件。我們已在 2012 年 10 月 4 日,針對 2012 年 7 月 10 日以後簽署的所有軟體程式碼,撤銷受影響的憑證。
撤銷受影響的憑證
問: Adobe 為何撤銷憑證?
答: 為了維持正版 Adobe 軟體的可信任度,我們已於 2012 年 10 月 4 日,針對 2012 年 7 月 10 日以後簽署的所有軟體程式碼,撤銷受影響的憑證。我們正在為所有受影響的產品,進行以新數位憑證簽署之更新的發布過程。
程式碼簽署說明
問: 程式碼簽署憑證是什麼?
答: 程式碼簽署憑證是用於以數位方式簽署軟體程式。許多軟體開發者 (包括 Adobe) 都會以數位方式簽署他們所建立的程式,用以向客戶保證該程式是合法的、未經修改。
問: 程式碼簽署如何作用?
答: 數位簽章使用公開金鑰加密技術,來保護及驗證程式碼。
- 開發者使用程式碼簽署憑證中的獨特私密金鑰,將數位簽章加入程式碼或內容中。
- 當使用者下載或遇到已簽署的程式碼,使用者的系統軟體或應用程式會使用公開金鑰來解密該簽章。
- 系統會尋找具有其信任或識別之識別身分的「根」憑證,用以驗證簽章。
- 系統接著再將用來簽署應用程式的雜湊,與已下載應用程式上的雜湊相比較。
- 如果系統信任根憑證而且雜湊相符,就會繼續下載或執行程序。
- 如果系統不信任根憑證或雜湊不符,則系統會中斷下載並提出警告,或讓下載失敗。
問: 程式碼簽署憑證可以用於程式碼簽署以外的用途嗎?
答: 不能。所有數位憑證都帶有標記,限制它們的用途。這種特殊的憑證只能用來數位簽署程式,它們不能用來加密資料、簽署文件或電子郵件,或執行除了簽署程式以外的任何其他事。
對客戶的影響: 安全性
問: 撤銷憑證是因為 Adobe 產品發生安全漏洞或缺陷嗎?
答: 不是。這個問題不影響您的正版 Adobe 軟體的安全性。
問: 對於使用者,還有其他安全性風險嗎?
答: 我們有很強的理由,足以確信這個問題不存在一般的安全性風險。目前我們所看到的證據,僅限於單獨發生的事件,也就是利用該憑證簽署的兩個惡意公用程式,證據也指出該憑證並未被用來簽署廣泛的惡意軟體。
問: 如果我的軟體並未因為這個問題而產生弱點,為什麼還需要更新?
答: Adobe 正針對所有受影響的產品發佈更新,提供客戶以新數位憑證簽署的軟體程式碼。若要判斷您的 Adobe 軟體安裝是否可取得以新數位憑證簽署的更新,請參閱安全性憑證更新。
對客戶的影響: 撤銷
問: 撤銷憑證會影響到所有平台上的 Adobe 軟體嗎?
答: 不會。撤銷憑證只影響到 Windows 平台,以及 3 個同時在 Windows 和 Mac OS 上執行的 Adobe AIR 應用程式*。撤銷動作不影響 Mac OS 或其他平台上的任何其他 Adobe 軟體。
* Adobe Muse 和 Adobe Story AIR 應用程式以及 Acrobat.com 桌面服務
問: 撤銷受影響憑證,對於協力廠商 Adobe AIR 應用程式有任何影響嗎?
答: 沒有。撤銷憑證只影響由 Adobe 開發且使用受影響之 Adobe 程式碼簽署憑證所簽署的 AIR 應用程式。Adobe 正在進行以新的 Adobe 程式碼簽署憑證加以簽署,為這些應用程式發布更新的過程。
問: 在受影響的憑證撤銷後,對於安裝了以該憑證簽署之正版 Adobe 軟體的客戶而言,其使用者體驗有何改變?
答: 在撤銷憑證的過程中,客戶應該不會察覺任何異常之處。少數客戶,尤其是受管理 Windows 環境的管理員,則需採取特定動作。若要判斷您和貴組織是否受影響,請參閱安全性憑證更新。
問: 既然 Adobe 軟體沒有弱點,客戶在撤銷過程中也不會察覺任何異常之處,那我為何還需要更新我的 Adobe 軟體?
答: Adobe 正針對所有受影響的產品發佈更新,提供客戶以新數位憑證簽署的軟體程式碼。若要判斷您的 Adobe 軟體安裝是否可取得以新數位憑證簽署的更新,請參閱安全性憑證更新。