Εάν χρησιμοποιείτε το λογισμικό Sennheiser HeadSetup και HeadSetup Pro, ο υπολογιστής σας ενδέχεται να διατρέχει σοβαρό κίνδυνο επίθεσης. Η Microsoft δημοσίευσε μια συμβουλευτική συμβολοσειρά με την ονομασία ADV180029 - Τα ακούσια αποκαλυπτόμενα ψηφιακά πιστοποιητικά θα μπορούσαν να επιτρέψουν την αποτυχία.

Ας μάθουμε τι λέει η Microsoft για αυτό, και στη συνέχεια να δούμε τι μπορούμε να κάνουμε γι 'αυτό.

Ποιος βρήκε την ευπάθεια;

Και είναι αρκετά συχνά, η πραγματική ευπάθεια δεν βρέθηκε από Sennheiser ή ακόμα και από τη Microsoft. Διαπιστώθηκε από την Secorvo Security Consulting GmbH. Μπορείτε να διαβάσετε την πλήρη αναφορά εδώ. Μπορείτε να δείτε τις λεπτομέρειες της ανάλυσης του CVE-2018-17612 με την επίσκεψη στην Εθνική Βάση Δεδομένων Ευπάθειας.

Τι είπε η Microsoft;

Την 28η Νοεμβρίου 2018 η Microsoft δημοσίευσε αυτήν τη συμβουλή:

πελάτες δύο αποκαλυπτόμενων ψηφιακών πιστοποιητικών που αποκαλύφθηκαν κατά λάθος και τα οποία θα μπορούσαν να χρησιμοποιηθούν για την παραποίηση περιεχομένου και την παροχή ενημέρωσης στη Λίστα αξιοπιστίας πιστοποιητικών (CTL) για την κατάργηση της εμπιστοσύνης των τρόπων λειτουργίας των πιστοποιητικών. Τα αποκαλυπτόμενα ριζικά πιστοποιητικά ήταν απεριόριστα και θα μπορούσαν να χρησιμοποιηθούν για την έκδοση πρόσθετων πιστοποιητικών για χρήσεις όπως υπογραφή κώδικα και έλεγχος ταυτότητας διακομιστή.

• ΔΙΑΒΑΣΤΕ ΕΠΙΣΗΣ: Η τοποθεσία λήψης VLC χαρακτηρίζεται ως κακόβουλο λογισμικό από τη Microsoft

Τι σημαίνει αυτό για τους χρήστες;

Αυτό που σημαίνει στη γλώσσα που ακόμη μπορώ να καταλάβω είναι ότι η Sennheiser, σε μια όχι πολύ έξυπνη κίνηση, αποφάσισε ότι δύο από τα προϊόντα της, HeadSetup και HeadSetup Pro, θα εγκαθιστούσαν πιστοποιητικά χωρίς να ενημερώνουν το άτομο που κάνει την εγκατάσταση.

Δύο περαιτέρω λάθη στην κρίση έχουν επιδεινώσει την κατάσταση:

1. Το πιστοποιητικό εγκαταστάθηκε στον φάκελο εγκατάστασης του λογισμικού.
2. Το ίδιο κλειδί απορρήτου χρησιμοποιήθηκε για όλες τις εγκαταστάσεις του Sennheiser του HeadSetup ή παλαιότερων.

Το πρόβλημα είναι ότι ο καθένας που παίρνει το κλειδί της ιδιωτικότητας τώρα έχει πρόσβαση στο σύστημα υπολογιστή Sennheiser HeadSetup και HeadSetup Pro έχει εγκατασταθεί.

Ποια είναι η λύση? Κάντε λήψη της επείγουσας επιδι

Για να είμαι ειλικρινής, ήμουν έτοιμος να γράψω ένα μακρύ, και ίσως απίστευτα βαρετό, άρθρο σχετικά με το τι σημαίνει αυτό για σας ως χρήστη του Sennheiser. Ευτυχώς, η εταιρεία μας έσωσε και τα δυο από αυτή την καταστροφική δοκιμασία.

Το Sennheiser μόλις κυκλοφόρησε μια ενημερωμένη έκδοση που δεν επιδιορθώνει μόνο το πρόβλημα, αλλά και συστήματα rids του πρωτότυπου πιστοποιητικού που θα μπορούσαν να προκαλέσουν το πρόβλημα στην πρώτη θέση.

Προχωρήστε στη σελίδα HeadSetup Pro του Sennheiser και μπορείτε να διαβάσετε τα πάντα για αυτό.

Τυλίξτε όλα

Όπως συμβαίνει πάντοτε, βεβαιωθείτε ότι είστε ενημερωμένοι με όλες τις ειδήσεις σχετικά με οποιοδήποτε λογισμικό χρησιμοποιείτε και κρατάτε ένα αυτί στο έδαφος για τυχόν αναφερόμενα ζητήματα ευπάθειας.

Ο καλύτερος τρόπος για να το κάνετε αυτό είναι να βεβαιωθείτε ότι έχετε προσθέσει σελιδοδείκτη των Windows Report και να μας επισκεφθείτε για όλες τις ειδήσεις που θα χρειαστείτε ποτέ. Επιπλέον, γράφουμε για πολλά άλλα δροσερά πράγματα!