Kui kasutate Sennheiser HeadSetup ja HeadSetup Pro tarkvara, võib teie arvuti olla tõsise rünnakuohus. Microsoft on avaldanud nõuandva nimetuse all nõuande ADV180029 - Tahtmatult avalikustatud digitaalsed sertifikaadid võivad lubada võltsimist.
Uurime, mida Microsoft selle kohta ütleb, ja siis vaatame, mida saame selle heaks teha.
Kes leidis haavatavuse?
Ja see juhtub üsna sageli, tegelik haavatavus ei leidnud Sennheiser ega isegi Microsoft. Selle leidis Secorvo Security Consulting GmbH. Võite lugeda täielikku aruannet siin. Saate vaadata üksikasju analüüs CVE-2018-17612 külastades riiklikku haavatavuse andmebaasi.
Mida on Microsoft öelnud?
28. novembril 2018 avaldas Microsoft selle nõuande:
[Me teavitame] kliente kahest tahtmatult avalikustatud digitaalsertifikaadist, mida saaks kasutada võltsimiseks sisu ja värskenduse pakkumine sertifikaatide usalduse loendisse (CTL), et eemaldada kasutaja režiimi usaldus sertifikaadid. Avalikustatud juursertifikaadid olid piiranguteta ja neid sai kasutada täiendavate sertifikaatide väljaandmiseks selliste kasutusviiside jaoks nagu koodi allkirjastamine ja serveri autentimine.
- LOE KA: VLC allalaadimissait on Microsofti poolt märgitud pahavaraks
Juhul, kui soovite Internetis surfamise ajal turvaline olla, peate oma võrgu turvamiseks hankima täielikult pühendatud tööriista. Installige nüüd Cyberghost VPN ja kindlustage ennast. See kaitseb teie arvutit sirvimise ajal rünnakute eest, varjab teie IP-aadressi ja blokeerib kogu soovimatu juurdepääsu.
Mida see kasutajate jaoks tähendab?
Mida see tähendab keeles, millest isegi mina aru saan, on see, et Sennheiser otsustas mitte eriti targa käiguga, et kaks tema toodet, Peakomplekt ja HeadSetup Pro installiksid sertifikaadid installimist teostavat isikut teavitamata.
Kaks täiendavat otsustamisviga on olukorra veelgi raskendanud:
- Sertifikaat installiti tarkvara installikausta.
- Sama privaatvõtit kasutati kõigi HeadSetupi või vanemate Sennheiseri installide puhul.
Probleem on selles, et kõigil, kes selle privaatvõtme kätte saavad, on nüüd juurdepääs arvutisüsteemile Sennheiser HeadSetup ja HeadSetup Pro on installitud.
Mis on lahendus? Kiirparandus laadige alla
Kui aus olla, siis tahtsin kirjutada pika ja võib-olla uskumatult igava artikli sellest, mida see kõik teile kui Sennheiseri kasutajale tähendab. Õnneks on ettevõte meid mõlemaid sellest hinge hävitavast katsumusest päästnud.
Sennheiser avaldas äsja värskenduse, mis mitte ainult ei lahenda probleemi, vaid vabastab ka originaalsertifikaadi süsteemid, mis võisid probleemi esmajärjekorras põhjustada.
Pea Sennheiseri juurde HeadSetup Pro lehel ja saate selle kohta kõike lugeda.
Selle kõik kokku pakkimine
Nagu ikka, veenduge, et oleksite kursis kõigi teie kasutatava tarkvara uudistega ja hoidke kõiki teatatud haavatavuste probleeme kohapeal.
Parim viis selleks on veenduda, et lisate Windowsi aruande järjehoidjatesse ja külastage meid kõigi uudiste jaoks, mida teil kunagi vaja võib minna. Lisaks kirjutame ka paljudest muudest lahedatest asjadest!
SEOTUD POSTITUSED, MIDA VÕIB SOOVIDA KONTROLLIDA:
- Microsoft tapab kiirparandusteenuse, siin on alternatiivid
- 7 parimat viirusetõrjevahendit Windows 10 jaoks ohtude blokeerimiseks 2019. aastal
- 5 parimat viirusetõrjetarkvara Petya / GoldenEye lunavara ennetamiseks
