Ако използвате софтуера Sennheiser HeadSetup и HeadSetup Pro, компютърът ви може да бъде изложен на сериозен риск от атака. Майкрософт публикува консултация под лекото наименование ADV180029 - По невнимание разкритите цифрови сертификати могат да позволят подправяне.

Нека да разберем какво казва Microsoft за това и след това да видим какво можем да направим по въпроса.

Кой намери уязвимостта?

И това често се случва, действителната уязвимост не беше открита от Sennheiser или дори от Microsoft. Открито е от Secorvo Security Consulting GmbH. Пълният доклад можете да прочетете тук. Можете да проверите детайлите на анализа на CVE-2018-17612, като посетите Националната база данни за уязвимост.

Какво е казал Microsoft?

На 28 ноември 2018 г. Microsoft публикува този съвет:

клиентите на два случайно разкрити цифрови сертификата, които могат да бъдат използвани за подправяне на съдържание и за предоставяне на актуализация на списъка с доверие на сертификати (CTL), за да премахнат доверието в потребителски режим за сертификатите. Разкритите коренови сертификати бяха неограничени и можеха да се използват за издаване на допълнителни сертификати за приложения като подписване на код и удостоверяване на сървъра.

• ЧЕТЕТЕ СЪЩО: VLC сайт за изтегляне, маркиран като зловреден софтуер от Microsoft

Какво означава това за потребителите?

Това, което означава на език, който дори аз мога да разбера, е, че Sennheiser по не особено умен ход реши, че два от неговите продукти, HeadSetup и HeadSetup Pro, ще инсталират сертификати, без да информират лицето, което извършва инсталацията.

Две допълнителни грешки в преценката допълниха ситуацията:

1. Сертификатът е инсталиран в инсталационната папка на софтуера.
2. Същият ключ за поверителност е използван за всички инсталации на Sennheiser на HeadSetup или по-стари.

Проблемът е, че всеки, който получи този ключ за поверителност, вече има достъп до компютърната система Sennheiser HeadSetup и HeadSetup Pro е инсталирана.

Какво е решението? Изтеглете актуалната корекция

За да бъда честен, щях да напиша дълга и вероятно невероятно скучна статия за това какво означава всичко това за вас като потребител на Sennheiser. За щастие, компанията ни спаси и двете от това потенциално унищожаващо душата изпитание.

Sennheiser току-що пусна актуализация, която не само отстранява проблема, но и отърва системите на оригиналния сертификат, които биха могли да причинят проблема на първо място.

Отидете на страницата на HeadSetup Pro на Sennheiser и можете да прочетете всичко за нея.

Опаковане всичко

Както винаги е така, уверете се, че сте в крак с всички новини за всеки софтуер, който използвате, и следете за всички съобщени проблеми с уязвимостта.

Най-добрият начин да направите това е да се уверите, че маркирате отчета за Windows и ни посетете за всички новини, които някога бихте могли да се нуждаете. Плюс това пишем и за много други готини неща!