Ha Sennheiser HeadSetup és HeadSetup Pro szoftvereket használ, akkor a számítógépet súlyos támadási veszély fenyegeti. A Microsoft közzétette egy tanácsot, melynek neve ADV180029. - A véletlenszerűen közzétett digitális tanúsítványok hamisítást tehetnek lehetővé.

Nézzük meg, mit mond a Microsoft erről, majd nézzük meg, mit tehetünk vele.

Ki találta a sebezhetőséget?

És gyakran ez a helyzet, a tényleges sebezhetőséget sem Sennheiser, sem pedig a Microsoft nem találta meg. A Secorvo Security Consulting GmbH találta meg. A teljes jelentést itt olvashatja. Nézze meg a CVE-2018-17612 elemzésének részleteit a Nemzeti biztonsági rés adatbázisában.

Mit mondott a Microsoft?

2018. november 28-án a Microsoft közzétette ezt a tanácsot:

Két vásárló véletlenül nyilvánosságra hozott digitális tanúsítványokat, amelyek felhasználhatók a tartalom meghamisítására és a tanúsítványok bizalmi listájának (CTL) frissítésére, a tanúsítványok felhasználói módbeli bizalmának megszüntetése érdekében. A közzétett gyökér tanúsítványok nem voltak korlátozva, és felhasználhatók további tanúsítványok kiadására olyan célokra, mint például a kód aláírás és a szerver hitelesítés.

• OLVASSA OLVASSA: A VLC letöltõ webhelyét, amelyet a Microsoft rosszindulatú programként jelölt meg

Mit jelent ez a felhasználók számára?

Ez azt jelenti a nyelven, amelyet még értem is, az, hogy a Sennheiser egy nem túl okos lépés mellett úgy döntött, hogy két termékének, a HeadSetup és a HeadSetup Pro telepíti a tanúsítványokat anélkül, hogy értesítené a telepítést végző személyt.

Két további mérlegelési hiba kombinálta a helyzetet:

1. A tanúsítványt a szoftver telepítési mappájába telepítették.
2. Ugyanazt az adatvédelmi kulcsot használták a HeadSetup vagy annál régebbi Sennheiser összes telepítéséhez.

A probléma az, hogy bárki, aki megkapja az adatvédelmi kulcsot, hozzáféréssel rendelkezik a Sennheiser HeadSetup és a HeadSetup Pro számítógépes rendszerhez.

Mi a megoldás? Töltse le a gyorsjavítást

Hogy őszinte legyek, hosszú és valószínűleg hihetetlenül unalmas cikket írtam arról, hogy ez mit jelent neked, mint Sennheiser-felhasználónak. Szerencsére a társaság megmentett minket a potenciálisan lelket pusztító megpróbáltatásoktól.

A Sennheiser nemrég kiadott egy frissítést, amely nemcsak kijavítja a problémát, hanem meg is engedi az eredeti tanúsítvány rendszereit, amelyek elsősorban a problémát okozhatták.

Menj a Sennheiser HeadSetup Pro oldalára, és mindent elolvashatsz.

Mindent összecsomagolva

Mint mindig, ügyeljen arra, hogy naprakészen tartsa a használt szoftverekkel kapcsolatos összes hírt, és ügyeljen a földre a jelentett sebezhetőségi problémákkal kapcsolatban.

A legjobb módszer erre: ellenőrizze a Windows Report könyvjelzőjét, és látogasson el hozzánk az összes hírhez, amelyre bármikor szüksége lehet. Ráadásul sok más jó cuccról is írunk!