Hvis du bruger Sennheiser HeadSetup og HeadSetup Pro software, så din computer kan være i alvorlig risiko for angreb. Microsoft har udgivet en rådgivning under det snappily navngivne ADV180029 - Utilsigtede afslørede digitale certifikater kan tillade forfalskning.
Lad os finde ud af, hvad Microsoft siger om det, og se derefter, hvad vi kan gøre ved det.
Hvem fandt sårbarheden?
Og det er ganske ofte tilfældet, det faktiske sårbarhed blev ikke fundet af Sennheiser eller endda Microsoft. Det blev fundet af Secorvo Security Consulting GmbH. Du kan læse hele rapporten her. Du kan tjekke detaljerne i analysen af CVE-2018-17612 ved at besøge den nationale sårbarhedsdatabase.
Hvad har Microsoft sagt?
Den 28. november 2018 offentliggjorde Microsoft denne rådgivning:
[Vi underretter] kunder om to utilsigtede afslørede digitale certifikater, der kan bruges til at falske indhold og at levere en opdatering til Certificate Trust List (CTL) for at fjerne brugertilstands tillid til certifikater. De afslørede rodcertifikater var ubegrænsede og kunne bruges til at udstede yderligere certifikater til brug som kodesignering og servergodkendelse.
- LÆS OGSÅ: VLC-downloadwebsted markeret som malware af Microsoft
Hvis du vil være sikker, mens du surfer på internettet, skal du få et fuldt dedikeret værktøj til at sikre dit netværk. Installer nu Cyberghost VPN og sikr dig selv. Det beskytter din pc mod angreb under browsing, maskerer din IP-adresse og blokerer al uønsket adgang.
Hvad betyder dette for brugerne?
Hvad dette betyder på sprog, som selv jeg kan forstå, er at Sennheiser i et ikke meget smart træk besluttede at to af sine produkter, HeadSetup og HeadSetup Pro, ville installere certifikater uden at informere den person, der foretager installationen.
To yderligere fejl i dommen har forværret situationen:
- Certifikatet blev installeret i softwarens installationsmappe.
- Den samme fortrolighedsnøgle blev brugt til alle Sennheiser-installationer af HeadSetup eller ældre.
Problemet er, at enhver, der får fat i den fortrolighedsnøgle, nu har adgang til computersystemet Sennheiser HeadSetup og HeadSetup Pro er blevet installeret på.
Hvad er løsningen? Download hotfixet
For at være ærlig var jeg ved at skrive en lang og muligvis utrolig kedelig artikel om, hvad det hele betyder for dig som Sennheiser-bruger. Heldigvis har virksomheden reddet os begge fra den potentielt sjælødelæggende prøvelse.
Sennheiser har netop frigivet en opdatering, der ikke kun løser problemet, men også frigør systemer af det originale certifikat, der i første omgang kunne have forårsaget problemet.
Gå over til Sennheiser's HeadSetup Pro side, og du kan læse alt om det.
Pakning af det hele
Som altid tilfældet, skal du sørge for at holde dig opdateret med alle nyhederne om enhver software, du bruger, og hold øre til jorden for eventuelle rapporterede sårbarhedsproblemer.
Den bedste måde at gøre det på er at sikre dig, at du bogmærker Windows Report, og besøge os for alle de nyheder, du nogensinde har brug for. Derudover skriver vi også om mange andre seje ting!
RELATEREDE INDLÆG, DU KAN VIL KONTROLLERE:
- Microsoft dræber hotfix-tjenesten, her er alternativerne
- 7 bedste antimalwareværktøjer til Windows 10 til at blokere trusler i 2019
- 5 bedste antivirussoftware til forebyggelse af Petya / GoldenEye ransomware
