Jos käytät Sennheiser HeadSetup ja HeadSetup Pro -ohjelmistot, tietokoneellesi saattaa olla vakava hyökkäysriski. Microsoft on julkaissut neuvonnan, jonka nimi on katkera ADV180029 - Tahattomasti paljastetut digitaaliset varmenteet voivat sallia huijaamisen.
Selvitetään, mitä Microsoft sanoo siitä, ja katsotaan sitten, mitä voimme tehdä asialle.
Kuka löysi haavoittuvuuden?
Ja se on melko usein todellinen haavoittuvuus ei löytänyt Sennheiser tai edes Microsoft. Sen löysi Secorvo Security Consulting GmbH. Voit lukea koko raportin tässä. Voit tarkistaa yksityiskohdat - analyysi CVE-2018-17612 vierailemalla kansallisessa haavoittuvuustietokannassa.
Mitä Microsoft on sanonut?
Microsoft julkaisi 28. marraskuuta 2018 tämän neuvonnan:
[Ilmoitamme] asiakkaille kahdesta vahingossa julkistetusta digitaalisesta varmenteesta, joita voitaisiin käyttää huijaamiseen sisällön ja toimittaa päivityksen Certificate Trust List (CTL) -luetteloon käyttäjätilan luottamuksen poistamiseksi todistukset. Paljastettuja juurivarmenteita ei ollut rajoitettu, ja niitä voitiin käyttää myöntämään ylimääräisiä varmenteita käyttötarkoituksiin, kuten koodin allekirjoittaminen ja palvelimen todennus.
- LUE MYÖS: Microsoft on merkinnyt haittaohjelmaksi VLC-lataussivuston
Jos haluat olla turvallinen Internetissä surffaillessasi, sinun on hankittava täysin omistettu työkalu verkon suojaamiseksi. Asenna nyt Cyberghost VPN ja turvaa itsesi. Se suojaa tietokonetta hyökkäyksiltä selaamisen aikana, peittää IP-osoitteesi ja estää kaiken ei-toivotun pääsyn.
Mitä tämä tarkoittaa käyttäjille?
Mitä tämä tarkoittaa kielellä, jota ymmärrän jopa minä, on se, että Sennheiser päätti, ei kovin fiksulla liikkeellä, että kaksi sen tuotetta, HeadSetup ja HeadSetup Pro, asentaisivat varmenteet ilmoittamatta siitä asentajalle.
Kaksi muuta arviointivirhettä ovat pahentaneet tilannetta:
- Sertifikaatti asennettiin ohjelmiston asennuskansioon.
- Samaa yksityisyysavainta käytettiin kaikissa HeadSetupin tai sitä vanhemmissa Sennheiser-asennuksissa.
Ongelmana on, että jokaisella, joka saa käsiksi kyseisen yksityisyysavaimen, on nyt pääsy tietokonejärjestelmään. Sennheiser HeadSetup ja HeadSetup Pro on asennettu.
Mikä on ratkaisu? Lataa hotfix-korjaus
Ollakseni rehellinen, aioin kirjoittaa pitkän ja mahdollisesti uskomattoman tylsän artikkelin siitä, mitä tämä kaikki tarkoittaa sinulle Sennheiser-käyttäjänä. Onneksi yritys on pelastanut meidät molemmista mahdollisesti sielua tuhoavista koettelemuksista.
Sennheiser on juuri julkaissut päivityksen, joka paitsi korjaa ongelman, myös poistaa alkuperäisen varmenteen järjestelmät, jotka olisivat voineet aiheuttaa ongelman ensinnäkin.
Suuntaa Sennheiserin luona HeadSetup Pro sivulla, ja voit lukea kaiken.
Kääri kaikki
Kuten aina, varmista, että pysyt ajan tasalla kaikista uutisista kaikista käyttämistäsi ohjelmistoista ja pidä korvat maassa ilmoitetuista haavoittuvuuksista.
Paras tapa tehdä se on varmistaa, että lisäät Windows-raportin kirjanmerkkeihisi, ja käy luonamme kaikki tarvitsemasi uutiset. Plus, kirjoitamme myös paljon muita hienoja juttuja!
LIITTYVÄT POSITIT, JOTKA HALUAT TARKISTAA:
- Microsoft tappaa hotfix-palvelun, tässä on vaihtoehtoja
- 7 parasta haittaohjelmien torjuntatyökalua Windows 10: lle uhkien estämiseksi vuonna 2019
- 5 parasta virustorjuntaohjelmaa Petya / GoldenEye-lunnasohjelman estämiseksi
