إذا كنت تستخدم ملفات سنهيسر برنامج HeadSetup و HeadSetup Pro ، فقد يكون جهاز الكمبيوتر الخاص بك في خطر شديد من التعرض للهجوم. قامت Microsoft بنشر تقرير استشاري تحت الاسم المفاجئ ADV180029 - قد تسمح الشهادات الرقمية التي تم الكشف عنها عن غير قصد بالانتحال.
دعنا نتعرف على ما تقوله Microsoft عنها ، ثم نرى ما يمكننا فعله حيال ذلك.
من الذي وجد الثغرة؟
وغالبا ما تكون الحالة الفعلية القابلية للتأثر لم يتم العثور على Sennheiser أو حتى Microsoft. تم العثور عليها بواسطة Secorvo Security Consulting GmbH. يمكنك قراءة التقرير الكامل هنا. يمكنك التحقق من تفاصيل تحليل CVE-2018-17612 من خلال زيارة قاعدة بيانات الضعف الوطنية.
ماذا قالت مايكروسوفت؟
في 28 نوفمبر 2018 ، نشرت Microsoft هذا الدليل الإرشادي:
[نحن نبلغ] العملاء بشهادتين رقميتين تم الكشف عنهما عن غير قصد يمكن استخدامهما في الانتحال المحتوى ولتوفير تحديث لقائمة الشهادات الموثوق بها (CTL) لإزالة ثقة وضع المستخدم لـ الشهادات. كانت شهادات الجذر التي تم الكشف عنها غير مقيدة ويمكن استخدامها لإصدار شهادات إضافية لاستخدامات مثل توقيع الرمز ومصادقة الخادم.
- اقرأ أيضًا: تم وضع علامة على موقع تنزيل VLC كبرنامج ضار بواسطة Microsoft
إذا كنت تريد أن تكون آمنًا أثناء تصفح الإنترنت ، فستحتاج إلى الحصول على أداة مخصصة بالكامل لتأمين شبكتك. ثبِّت الآن Cyberghost VPN وتأمين نفسك. إنه يحمي جهاز الكمبيوتر الخاص بك من الهجمات أثناء التصفح ، ويخفي عنوان IP الخاص بك ويمنع كل الوصول غير المرغوب فيه.
ماذا يعني هذا للمستخدمين؟
ما يعنيه هذا في اللغة التي يمكنني فهمها هو أن Sennheiser ، في خطوة غير ذكية للغاية ، قررت أن اثنين من منتجاتها ، HeadSetup و HeadSetup Pro ، بتثبيت الشهادات دون إبلاغ الشخص الذي يقوم بالتثبيت.
هناك خطأان آخران في الحكم أدى إلى تفاقم الموقف:
- تم تثبيت الشهادة في مجلد تثبيت البرنامج.
- تم استخدام مفتاح الخصوصية نفسه لجميع عمليات تثبيت Sennheiser لبرنامج HeadSetup أو أقدم.
تكمن المشكلة في أن أي شخص يحصل على مفتاح الخصوصية هذا يمكنه الآن الوصول إلى نظام الكمبيوتر الذي تم تثبيت Sennheiser HeadSetup و HeadSetup Pro عليه.
ماهو الحل؟ قم بتنزيل الإصلاح العاجل
لأكون صادقًا ، كنت على وشك كتابة مقال طويل ، وربما يكون مملًا بشكل لا يصدق ، حول ما يعنيه كل هذا بالنسبة لك كمستخدم لـ Sennheiser. لحسن الحظ ، أنقذتنا الشركة من تلك المحنة التي يحتمل أن تدمر الروح.
أصدرت Sennheiser للتو تحديثًا لا يعمل على حل المشكلة فحسب ، بل يتخلص أيضًا من أنظمة الشهادة الأصلية التي كان من الممكن أن تسببت في حدوث المشكلة في المقام الأول.
توجه إلى Sennheiser’s HeadSetup Pro الصفحة ، ويمكنك قراءة كل شيء عنها.
التفاف كل شيء
كما هو الحال دائمًا ، تأكد من مواكبة جميع الأخبار المتعلقة بأي برنامج تستخدمه ، وتأكد من الاطلاع على أي مشكلات تتعلق بالثغرات الأمنية.
أفضل طريقة للقيام بذلك هي التأكد من وضع إشارة مرجعية على تقرير Windows ، وزيارتنا للحصول على جميع الأخبار التي قد تحتاجها في أي وقت. بالإضافة إلى ذلك ، نكتب عن الكثير من الأشياء الرائعة الأخرى أيضًا!
الوظائف ذات الصلة التي قد ترغب في التحقق منها:
- مايكروسوفت تقتل خدمة الإصلاح العاجل ، وإليك البدائل
- أفضل 7 أدوات لمكافحة البرامج الضارة لنظام التشغيل Windows 10 لمنع التهديدات في عام 2019
- أفضل 5 برامج لمكافحة الفيروسات لمنع Petya / GoldenEye ransomware
