Ако използвате Sennheiser HeadSetup и HeadSetup Pro, тогава компютърът ви може да е изложен на сериозен риск от атака. Microsoft публикува препоръка под бързото име ADV180029 - Неволно разкритите цифрови сертификати могат да позволят подправяне.
Нека разберем какво казва Microsoft за това и след това да видим какво можем да направим по въпроса.
Кой намери уязвимостта?
И доста често е така, действително уязвимост не беше намерен от Sennheiser или дори от Microsoft. Открита е от Secorvo Security Consulting GmbH. Можете да прочетете пълния доклад тук. Можете да проверите подробностите за анализът на CVE-2018-17612 като посетите Националната база данни за уязвимост.
Какво каза Microsoft?
На 28 ноември 2018 г. Microsoft публикува този съвет:
[Уведомяваме] клиентите за два неволно разкрити цифрови сертификата, които биха могли да бъдат използвани за фалшифициране съдържание и да предостави актуализация на списъка за доверие на сертификати (CTL), за да премахне доверието в потребителския режим за сертификати. Разкритите коренни сертификати бяха неограничени и можеха да се използват за издаване на допълнителни сертификати за употреби като подписване на код и удостоверяване на сървъра.
- ПРОЧЕТЕТЕ СЪЩО: Сайт за изтегляне на VLC, маркиран от Microsoft като злонамерен софтуер
В случай, че искате да сте сигурни, докато сърфирате в интернет, ще трябва да получите напълно специализиран инструмент за защита на вашата мрежа. Инсталирайте сега Cyberghost VPN и се подсигурете. Той предпазва вашия компютър от атаки по време на сърфиране, маскира вашия IP адрес и блокира всички нежелани достъпи.
Какво означава това за потребителите?
Какво означава това на език, който дори аз мога да разбера, е, че Sennheiser, с не много умен ход, реши, че два от неговите продукти, HeadSetup и HeadSetup Pro, ще инсталират сертификати, без да информират лицето, което прави инсталацията.
Две допълнителни грешки в преценката усложниха ситуацията:
- Сертификатът е инсталиран в инсталационната папка на софтуера.
- Същият ключ за поверителност е използван за всички инсталирания на Sennheiser на HeadSetup или по-стари.
Проблемът е, че всеки, който се добере до този ключ за поверителност, вече има достъп до компютърната система Sennheiser HeadSetup и HeadSetup Pro е инсталиран на.
Какво е решението? Изтеглете актуалната корекция
За да бъда честен, щях да напиша дълга и вероятно невероятно скучна статия за това какво означава всичко това за вас като потребител на Sennheiser. За щастие компанията ни спаси и двамата от това потенциално унищожаващо душата изпитание.
Sennheiser току-що пусна актуализация, която не само решава проблема, но също така освобождава системи от оригиналния сертификат, които биха могли да причинят проблема на първо място.
Насочете се към Sennheiser’s HeadSetup Pro страница и можете да прочетете всичко за нея.
Опаковане на всичко
Както винаги се случва, уверете се, че сте в крак с всички новини за всеки софтуер, който използвате, и внимавайте за всички съобщени проблеми с уязвимостите.
Най-добрият начин да направите това е да се уверите, че сте маркирали Windows Report и да ни посетите за всички новини, които някога са ви били необходими. Освен това пишем и за много други страхотни неща!
СВЪРЗАНИ ПОЩИ, КОИТО МОЖЕТЕ ДА ИСКАТЕ:
- Microsoft убива услугата за актуални корекции, ето алтернативите
- 7 най-добри антималуерни инструменти за Windows 10 за блокиране на заплахи през 2019 г.
- 5 най-добри антивирусни програми за предотвратяване на Pensa / GoldenEye рансъмуер
