Jeśli korzystasz z oprogramowania Sennheiser HeadSetup i HeadSetup Pro, Twój komputer może być poważnie zagrożony atakiem. Microsoft opublikował poradnik pod pseudonimem ADV180029 - Nieumyślnie ujawnione certyfikaty cyfrowe mogą pozwolić na fałszowanie.

Dowiedzmy się, co Microsoft mówi na ten temat, a następnie zobaczmy, co możemy z tym zrobić.

Kto znalazł lukę?

I dość często zdarza się, że Sennheiser ani nawet Microsoft nie wykryli tej luki. Zostało odnalezione przez Secorvo Security Consulting GmbH. Możesz przeczytać pełny raport tutaj. Możesz sprawdzić szczegóły analizy CVE-2018-17612, odwiedzając National Vulnerability Database.

Co powiedział Microsoft?

28 listopada 2018 r. Microsoft opublikował ten poradnik:

klienci dwóch przypadkowo ujawnionych certyfikatów cyfrowych, których można użyć do fałszowania treści i aktualizacji listy zaufanych certyfikatów (CTL) w celu usunięcia zaufania do certyfikatów w trybie użytkownika. Ujawnione certyfikaty główne były nieograniczone i mogą być używane do wydawania dodatkowych certyfikatów do takich zastosowań, jak podpisywanie kodu i uwierzytelnianie serwera.

• CZYTAJ TAKŻE: Witryna pobierania VLC oznaczona przez Microsoft jako złośliwe oprogramowanie

Co to oznacza dla użytkowników?

W języku, który nawet ja rozumiem, oznacza to, że Sennheiser, w niezbyt mądrym posunięciu, zdecydował, że dwa z jego produktów, HeadSetup i HeadSetup Pro, zainstalują certyfikaty bez informowania osoby wykonującej instalację.

Dwa kolejne błędy w wyroku pogorszyły sytuację:

1. Certyfikat został zainstalowany w folderze instalacyjnym oprogramowania.
2. Ten sam klucz prywatności był używany we wszystkich instalacjach Sennheiser programu HeadSetup lub starszych.

Problem polega na tym, że każdy, kto zdobędzie ten klucz prywatności, ma teraz dostęp do systemu komputerowego Sennheiser HeadSetup i HeadSetup Pro został zainstalowany.

Jakie jest rozwiązanie? Pobierz poprawkę

Szczerze mówiąc, miałem właśnie napisać długi i być może niezwykle nudny artykuł o tym, co to wszystko oznacza dla ciebie jako użytkownika Sennheiser. Na szczęście firma uratowała nas obojga od tej potencjalnie niszczącej dusze próby.

Firma Sennheiser właśnie wydała aktualizację, która nie tylko rozwiązuje problem, ale także usuwa systemy z oryginalnego certyfikatu, które mogły być przyczyną problemu.

Udaj się na stronę HeadSetup Pro firmy Sennheiser, a dowiesz się wszystkiego.

Podsumowując

Jak zawsze, upewnij się, że jesteś na bieżąco ze wszystkimi wiadomościami na temat każdego oprogramowania, z którego korzystasz, i miej oko na wszelkie zgłoszone problemy z lukami.

Najlepszym sposobem na to jest utworzenie zakładki Raport systemu Windows i odwiedzanie nas w celu uzyskania wszystkich wiadomości, których możesz potrzebować. Dodatkowo piszemy o wielu innych fajnych rzeczach!