Εάν χρησιμοποιείτε Sennheiser Λογισμικό HeadSetup και HeadSetup Pro, τότε ο υπολογιστής σας ενδέχεται να διατρέχει σοβαρό κίνδυνο επίθεσης. Η Microsoft δημοσίευσε ένα συμβουλευτικό με το εύκολο όνομα ADV180029 - Ψηφιακά πιστοποιητικά που αποκαλύπτονται κατά λάθος θα μπορούσαν να επιτρέψουν την πλαστογράφηση.
Ας μάθουμε τι λέει η Microsoft σχετικά με αυτό και ας δούμε τι μπορούμε να κάνουμε γι 'αυτό.
Ποιος βρήκε την ευπάθεια;
Και είναι πολύ συχνά η πραγματική τρωτό δεν βρέθηκε από τον Sennheiser ή ακόμα και από τη Microsoft. Βρέθηκε από την Secorvo Security Consulting GmbH. Μπορείτε να διαβάσετε την πλήρη αναφορά εδώ. Μπορείτε να δείτε τις λεπτομέρειες του η ανάλυση του CVE-2018-17612 μεταβαίνοντας στην Εθνική Βάση Δεδομένων ευπάθειας.
Τι είπε η Microsoft;
Στις 28 Νοεμβρίου 2018, η Microsoft δημοσίευσε αυτή τη συμβουλή:
[Ειδοποιούμε] τους πελάτες για δύο ψηφιακά πιστοποιητικά που δεν γνωστοποιήθηκαν κατά λάθος που θα μπορούσαν να χρησιμοποιηθούν για πλαστογράφηση περιεχομένου και να παρέχει μια ενημέρωση στη Λίστα αξιοπιστίας πιστοποιητικών (CTL) για να καταργήσετε την εμπιστοσύνη λειτουργίας χρήστη για το πιστοποιητικά. Τα γνωστοποιημένα πιστοποιητικά ρίζας δεν ήταν περιορισμένα και θα μπορούσαν να χρησιμοποιηθούν για την έκδοση πρόσθετων πιστοποιητικών για χρήσεις όπως η υπογραφή κώδικα και ο έλεγχος ταυτότητας διακομιστή.
- ΔΙΑΒΑΣΤΕ ΕΠΙΣΗΣ: Η τοποθεσία λήψης VLC επισημάνθηκε ως κακόβουλο λογισμικό από τη Microsoft
Σε περίπτωση που θέλετε να είστε ασφαλείς κατά την περιήγηση στο Διαδίκτυο, θα πρέπει να αποκτήσετε ένα πλήρες ειδικό εργαλείο για να ασφαλίσετε το δίκτυό σας. Εγκαταστήστε τώρα το Cyberghost VPN και ασφαλίστε τον εαυτό σας. Προστατεύει τον υπολογιστή σας από επιθέσεις κατά την περιήγηση, αποκρύπτει τη διεύθυνση IP σας και αποκλείει κάθε ανεπιθύμητη πρόσβαση.
Τι σημαίνει αυτό για τους χρήστες;
Αυτό σημαίνει σε γλώσσα που ακόμη και καταλαβαίνω είναι ότι ο Sennheiser, σε μια όχι πολύ έξυπνη κίνηση, αποφάσισε ότι δύο από τα προϊόντα του, HeadSetup και το HeadSetup Pro, θα εγκαθιστούσαν πιστοποιητικά χωρίς να ενημερώσουν το άτομο που έκανε την εγκατάσταση.
Δύο ακόμη σφάλματα στην κρίση έχουν επιδεινώσει την κατάσταση:
- Το πιστοποιητικό εγκαταστάθηκε στο φάκελο εγκατάστασης του λογισμικού.
- Το ίδιο κλειδί απορρήτου χρησιμοποιήθηκε για όλες τις εγκαταστάσεις Sennheiser του HeadSetup ή παλαιότερων.
Το πρόβλημα είναι ότι οποιοσδήποτε κατέχει αυτό το κλειδί απορρήτου έχει πλέον πρόσβαση στο σύστημα υπολογιστή Sennheiser HeadSetup και HeadSetup Pro έχει εγκατασταθεί.
Ποια είναι η λύση? Κάντε λήψη της επείγουσας επιδιόρθωσης
Για να είμαι ειλικρινής, επρόκειτο να γράψω ένα μακρύ και πιθανώς απίστευτα βαρετό άρθρο σχετικά με το τι σημαίνει αυτό για εσάς ως χρήστης Sennheiser. Ευτυχώς, η εταιρεία μας έχει σώσει και τους δύο από αυτή τη δυνητικά καταστροφική δοκιμασία.
Η Sennheiser μόλις κυκλοφόρησε μια ενημέρωση που όχι μόνο επιλύει το πρόβλημα, αλλά και συστήματα συστήματος του αρχικού πιστοποιητικού που θα μπορούσαν να έχουν προκαλέσει το πρόβλημα.
Προχωρήστε στο Sennheiser's HeadSetup Pro σελίδα και μπορείτε να διαβάσετε όλα σχετικά.
Τυλίγοντας τα όλα
Όπως συμβαίνει πάντα, φροντίστε να ενημερώνεστε για όλα τα νέα σχετικά με οποιοδήποτε λογισμικό χρησιμοποιείτε και να παρακολουθείτε τυχόν προβλήματα ευπάθειας.
Ο καλύτερος τρόπος για να γίνει αυτό είναι να βεβαιωθείτε ότι έχετε προσθέσει σελιδοδείκτη στην Αναφορά των Windows και ότι μας επισκέπτεστε για όλες τις ειδήσεις που θα μπορούσατε να χρειαστείτε. Επιπλέον, γράφουμε και για πολλά άλλα υπέροχα πράγματα!
ΣΧΕΤΙΚΕΣ ΘΕΣΕΙΣ ΠΟΥ ΘΕΛΕΤΕ ΝΑ ΕΛΕΓΞΕΤΕ:
- Η Microsoft σκοτώνει την υπηρεσία επείγουσας επιδιόρθωσης, εδώ είναι οι εναλλακτικές λύσεις
- 7 καλύτερα εργαλεία antimalware για τα Windows 10 για τον αποκλεισμό απειλών το 2019
- 5 καλύτερα προγράμματα προστασίας από ιούς για την πρόληψη του ransomware Petya / GoldenEye
