Si vous utilisez Sennheiser HeadSetup et HeadSetup Pro, votre ordinateur peut être exposé à un risque sérieux d'attaque. Microsoft a publié un avis sous le nom vif ADV180029 — Les certificats numériques divulgués par inadvertance pourraient permettre l'usurpation d'identité.
Voyons ce que Microsoft en dit, puis voyons ce que nous pouvons faire à ce sujet.
Qui a trouvé la vulnérabilité ?
Et c'est assez souvent le cas, la réalité vulnérabilité n'a pas été trouvé par Sennheiser ou même Microsoft. Il a été trouvé par Secorvo Security Consulting GmbH. Vous pouvez lire le rapport complet ici. Vous pouvez consulter les détails de l'analyse de CVE-2018-17612 en visitant la base de données nationale sur la vulnérabilité.
Qu'a dit Microsoft ?
Le 28 novembre 2018, Microsoft a publié cet avis :
[Nous informons] les clients de deux certificats numériques divulgués par inadvertance qui pourraient être utilisés pour usurper contenu et de fournir une mise à jour de la liste de confiance des certificats (CTL) pour supprimer la confiance en mode utilisateur pour le certificats. Les certificats racine divulgués n'étaient pas restreints et pouvaient être utilisés pour émettre des certificats supplémentaires pour des utilisations telles que la signature de code et l'authentification de serveur.
- LIRE AUSSI: Site de téléchargement VLC marqué comme malware par Microsoft
Si vous souhaitez être en sécurité lorsque vous surfez sur Internet, vous aurez besoin d'un outil entièrement dédié pour sécuriser votre réseau. Installez maintenant Cyberghost VPN et sécurisez-vous. Il protège votre PC des attaques lors de la navigation, masque votre adresse IP et bloque tous les accès indésirables.
Qu'est-ce que cela signifie pour les utilisateurs ?
Ce que cela signifie dans un langage que même moi, je peux comprendre, c'est que Sennheiser, dans un geste pas très intelligent, a décidé que deux de ses produits, HeadSetup et HeadSetup Pro, installeraient des certificats sans en informer la personne effectuant l'installation.
Deux autres erreurs de jugement ont aggravé la situation :
- Le certificat a été installé dans le dossier d'installation du logiciel.
- La même clé de confidentialité a été utilisée pour toutes les installations Sennheiser de HeadSetup ou d'une version antérieure.
Le problème est que toute personne qui obtient cette clé de confidentialité a désormais accès au système informatique sur lequel Sennheiser HeadSetup et HeadSetup Pro ont été installés.
Quelle est la solution? Télécharger le correctif
Pour être honnête, j'étais sur le point d'écrire un article long, et peut-être incroyablement ennuyeux, sur ce que tout cela signifie pour vous en tant qu'utilisateur Sennheiser. Heureusement, l'entreprise nous a sauvés tous les deux de cette épreuve potentiellement destructrice pour l'âme.
Sennheiser vient de publier une mise à jour qui non seulement résout le problème, mais débarrasse également les systèmes du certificat d'origine qui aurait pu causer le problème en premier lieu.
Rendez-vous chez Sennheiser HeadSetup Pro page, et vous pouvez tout lire à ce sujet.
Envelopper le tout
Comme c'est toujours le cas, assurez-vous de vous tenir au courant de toutes les actualités concernant les logiciels que vous utilisez et restez à l'affût de tout problème de vulnérabilité signalé.
La meilleure façon de le faire est de vous assurer de mettre en signet le rapport Windows et de nous rendre visite pour toutes les nouvelles dont vous pourriez avoir besoin. De plus, nous écrivons sur beaucoup d'autres trucs sympas aussi !
POSTES CONNEXES QUE VOUS POUVEZ CONSULTER :
- Microsoft tue le service de correctifs, voici les alternatives
- 7 meilleurs outils antimalware pour Windows 10 pour bloquer les menaces en 2019
- 5 meilleurs logiciels antivirus pour empêcher le ransomware Petya/GoldenEye
