• IT-Karriere:
  • Services:

Adobe

Entfernung von Diginotar-Zertifikaten kann dauern

Ein weiterer großer Softwarehersteller wirft die Diginotar-Root-Zertifikate aus seinem Programm. Das heißt aber nicht, dass die Adobe-Programme das sofort umsetzen. Bestenfalls vergehen zwischen 30 und 90 Tagen, bis das Update ankommt.

Artikel veröffentlicht am ,
Diginotar-Zertifikate werden von Adobe-Programmen nicht mehr akzeptiert.
Diginotar-Zertifikate werden von Adobe-Programmen nicht mehr akzeptiert. (Bild: Golem.de)

Adobe warnt Anwender seiner PDF-Programme vor. In Adobe Reader und Acrobat soll es mehrere als kritisch eingestufte Sicherheitslücken geben. Demzufolge wird Adobe zu seinem ohnehin geplanten Quartalspatchday ein Sicherheitsupdate am 13. September 2011 veröffentlichen. Meist geschieht das durch die Zeitverzögerung erst am Abend in Europa.

Stellenmarkt
  1. PSI Software AG Geschäftsbereich PSI Energie EE, Aschaffenburg
  2. ALDI International Services GmbH & Co. oHG, Mülheim an der Ruhr

Die genauen Probleme nennt Adobe nicht in seinem Security Advisory. Betroffen sind alle noch von Adobe unterstützten PDF-Programme, genauer gesagt die Versionen 8, 9 und 10.

Gleichzeitig hat Adobe angekündigt, die Root-Zertifikate der niederländischen Firma Diginotar zu entfernen. Sie werden aus der Adobe Approved Trust List (AATL) entfernt, die Adobe-PDF-Programme der Version 9 und 10 unterstützen. Wer nicht warten will, kann einer Anleitung folgen, um die Zertifikate selbst zu entfernen. Es liegt nahe, dass Adobe die AATL zusammen mit den Sicherheitsupdates anpasst. Das bedeutet allerdings nicht, dass die aktuellen Daten auch beim Endanwender ankommen.

Die AATL ist für Angriffe auf Certificate Authorities nicht vorbereitet

Laut Adobe aktualisiert sich die AATL der PDF-Programme bestenfalls nur alle 30 bis 90 Tage. Das setzt aber voraus, dass der Anwender ein digital signiertes Dokument öffnet, ein Dokument signiert oder Zugriff auf die Signaturfunktionen nimmt. Wer das nicht tut, der bekommt kein Update der AATL. Für Angriffe auf die Infrastruktur der Certificate Authority ist das zu viel Zeit, die vergeht, um sich zu wehren. Es besteht zumindest die Möglichkeit, dass Adobe mit dem Patch am 13. September 2011 den Umgang mit der AATL verändert. Allerdings sagt die Firma dies nicht in ihrer Ankündigung.

Damit haben zahlreiche Softwareentwickler drastische Konsequenzen aus dem Einbruch gezogen. Unter anderem haben Mozilla, Microsoft und zahlreiche Linux-Distributionen Diginotar die Geschäftsgrundlage genommen. Betriebssystemhersteller Apple hat bisher nicht reagiert.

Nach einem Einbruch bei Diginotar konnten Angreifer über 500 Zertifikate ausstellen, was insbesondere die Niederlande in Bedrängnis brachte. Die Niederlande haben als Konsequenz Diginotar komplett das Vertrauen entzogen und fordern ihre Bürger auf, zu Stift und Papier zu greifen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. (gültig für alle vorrätigen Artikel)
  2. mit 112,06€ inkl. Versand (MediaMarkt) neuer Tiefpreis bei Geizhals
  3. 649,90€ + 5,79€ Versand bei Vorkasse (Vergleichspreis 729,89€ inkl. Versand + Lieferzeit)
  4. (u. a. ASUS TUF Gaming VG259Q für 236,90€ inkl. Versand und Intel Core i3-10300 boxed für 119...

sphere 10. Sep 2011

Warum bringen Adobe-Produkte (und nebenbei auch Mozilla-Software) eine eigene Krypto...

elgooG 09. Sep 2011

Gekaperte Zertifikate sind verdammt gefährlich, um so mehr sehe ich es mit sehr viel...

Anglizismus 09. Sep 2011

Der Grund Adobes es nicht zu aktualisieren:


Folgen Sie uns
       


ANC-Kopfhörer im Vergleich

Wir haben Sonys neuen WH-1000XM4 bei der ANC-Leistung gegen Sonys alten WH-1000XM3 und Boses Noise Cancelling Headphones 700 antreten lassen.

ANC-Kopfhörer im Vergleich Video aufrufen
The Secret of Monkey Island: Ich bin ein übelriechender, groggurgelnder Pirat!
The Secret of Monkey Island
"Ich bin ein übelriechender, groggurgelnder Pirat!"

Das wunderbare The Secret of Monkey Island feiert seinen 30. Geburtstag. Golem.de hat einen neuen Durchgang gewagt - und wüst geschimpft.
Von Benedikt Plass-Fleßenkämper


    CalyxOS im Test: Ein komfortables Android mit einer Extraportion Privacy
    CalyxOS im Test
    Ein komfortables Android mit einer Extraportion Privacy

    Ein mobiles System, das sich für Einsteiger und Profis gleichermaßen eignet und zudem Privatsphäre und Komfort verbindet? Ja, das geht - und zwar mit CalyxOS.
    Ein Test von Moritz Tremmel

    1. Alternatives Android im Test /e/ will Google ersetzen

    Corsair K60 RGB Pro im Test: Teuer trotz Viola
    Corsair K60 RGB Pro im Test
    Teuer trotz Viola

    Corsair verwendet in der K60 Pro RGB als erster Hersteller Cherrys neue preiswerte Viola-Switches. Anders als Cherrys günstige MY-Schalter aus den 80ern hinterlassen diese einen weitaus besseren Eindruck bei uns - der Preis der Tastatur hingegen nicht.
    Ein Test von Tobias Költzsch

    1. Corsair K100 RGB im Test Das RGB-Monster mit der Lichtschranke
    2. Corsair Externes Touchdisplay ermöglicht schnelle Einstellungen
    3. Corsair One a100 im Test Ryzen-Wasserturm richtig gemacht

      •  /