Фахівці Adobe провели дослідження у зв'язку з підозрами щодо неприпустимого використання сертифіката для підписування коду в ОС Windows. Ми відкликали сертифікат, якого стосувалися ці підозри, 4 жовтня 2012 р. для всього програмного коду, підписаного після 10 липня 2012 р.

Відкликання сертифіката, що зазнав впливу

З. Чому компанія Adobe відкликала сертифікат?

В. Щоб зберегти довіру до оригінального програмного забезпечення Adobe, 4 жовтня 2012 р. ми відкликали сертифікат, який зазнав впливу, для всього програмного коду, підписаного після 10 липня 2012 р. Для всіх продуктів, які зазнали впливу, ми готуємо до видання оновлення, підписані за допомогою нового цифрового сертифіката.

Що таке підписування коду

З. Що таке сертифікат для підписування коду?

В. Сертифікат для підписування коду дає змогу додавати цифровий підпис до програмних продуктів. Багато розробників програмного забезпечення, включно з Adobe, додають цифровий підпис до програм, які вони розроблюють. Це дає змогу клієнтам цих розробників переконатися, що програми є законними і що їх не змінили сторонні особи.

З. Як підписується код?

В. Цифрові підписи дають змогу захистити автентичність коду за технологією шифрування з відкритим ключем.

  1. Розробник додає до коду або до вмісту цифровий підпис, використовуючи унікальний закритий ключ із сертифіката підписування коду.
  2. Коли користувач завантажує підписаний код або виконує з ним інші дії, спеціальне програмне забезпечення або застосунок у системі користувача розшифровує цей підпис за допомогою відкритого ключа.
  3. Для перевірки автентичності підпису система шукає "кореневий" сертифікат із посвідченням, якому система довіряє або яке вона здатна розпізнати.
  4. Потім система порівнює хеш, який використовувався для підписування застосунку, з хешем завантаженого застосунку.
  5. Якщо система довіряє кореневому сертифікату й хеші збігаються, то завантаження або виконання триває.
  6. Якщо система не довіряє кореневому сертифікату або хеші не збігаються, завантаження переривається і видається попередження або відбувається збій завантаження.

З. Чи можна використовувати сертифікат для підписування коду для цілей, відмінних від підписування коду?

В. Ні. Усі цифрові сертифікати мають маркування, яке обмежує їхнє використання. Цей сертифікат може бути використаний тільки для цифрового підписування програм. За його допомогою не можна шифрувати дані, підписувати документи чи повідомлення електронної пошти або виконувати інші дії, відмінні від підписування програм.

Вплив користувачів: безпека

З. Чи було сертифікат відкликано через уразливість системи безпеки або дефект продукту Adobe?

В. Ні. Ця проблема не впливає на безпеку оригінального програмного забезпечення Adobe.

З. Чи є інші ризики безпеки для користувачів?

З. У нас є серйозні підстави вважати, що ця проблема не є загрозою для безпеки в цілому. Ми виявили лише окремий випадок підписання за допомогою сертифіката двох зловмисних утиліт, що не свідчить про широке використання сертифіката для підписування зловмисних програм.

З. Якщо моє програмне забезпечення не вражене через цей випадок, навіщо його оновлювати?

В. Adobe випускає оновлення для всіх продуктів, які зазнали впливу, щоб надати клієнтам програмний код, підписаний за допомогою нового цифрового сертифіката. Щоб перевірити для встановленого у вас програмного забезпечення Adobe наявність оновлень, підписаних за допомогою нового цифрового сертифіката, див. розділ Оновлення сертифікатів безпеки.

Вплив користувачів: відкликання

З. Чи вплине відкликання сертифіката на програмне забезпечення Adobe на всіх платформах?

В. Ні. Відкликання сертифіката впливає на платформу Windows і три застосунки Adobe AIR*, які працюють на платформах Windows і Mac OS. Відкликання не впливає на інше програмне забезпечення Adobe для Mac OS та інших платформ.

* Застосунки AIR Adobe Muse і Adobe Story, а також служби Acrobat.com для настільних комп’ютерів

З. Чи стосується відкликання сертифіката, який зазнав впливу, додатків Adobe AIR сторонніх виробників?

В. Ні. Відкликання сертифіката впливає лише на застосунки AIR, розроблені в компанії Adobe і підписані за допомогою сертифіката для підписування коду Adobe. Для цих продуктів, підписаних за допомогою сертифіката Adobe для підписування коду, Adobe готує до видання оновлення.

З. Що станеться після відкликання сертифіката з оригінальним програмним забезпеченням Adobe, підписаним за допомогою цього сертифіката?

В. Під час анулювання сертифіката користувачі такого програмного забезпечення не повинні помітити нічого незвичайного. Невеликій частині клієнтів, зокрема адміністраторам у керованих середовищах Windows, може знадобитися виконати певні дії. Щоб дізнатися, чи вплине це відкликання на вас або вашу організацію, див. розділ Оновлення сертифікатів безпеки.

З. Якщо програмне забезпечення Adobe не вражене і клієнти не мають помітити нічого незвичайного у ході відкликання сертифіката, навіщо тоді оновлювати програмне забезпечення Adobe?

В. Adobe випускає оновлення для всіх продуктів, які зазнали впливу, щоб надати клієнтам програмний код, підписаний за допомогою нового цифрового сертифіката. Щоб перевірити наявність для встановленого у вас програмного забезпечення Adobe оновлень, підписаних за допомогою нового цифрового сертифіката, див. статтю Оновлення сертифікатів безпеки.

Цей документ захищено ліцензією Creative Commons Attribution-Noncommercial-Share Alike 3.0 Unported License  Публікації Twitter™ і Facebook не підпадають під умови ліцензії Creative Commons.

Юридична інформація   |   Політика мережевої конфіденційності