Se stai usando Sennheiser HeadSetup e HeadSetup Pro, il tuo computer potrebbe essere seriamente a rischio di attacco. Microsoft ha pubblicato un avviso sotto il nome scattante ADV180029 — I certificati digitali divulgati inavvertitamente potrebbero consentire lo spoofing.
Scopriamo cosa dice Microsoft a riguardo e poi vediamo cosa possiamo fare al riguardo.
Chi ha scoperto la vulnerabilità?
Ed è abbastanza spesso il caso, il reale vulnerabilità non è stato trovato da Sennheiser e nemmeno da Microsoft. È stato trovato da Secorvo Security Consulting GmbH. Puoi leggere il rapporto completo Qui. Puoi controllare i dettagli di l'analisi di CVE-2018-17612 visitando il Database Nazionale delle Vulnerabilità.
Cosa ha detto Microsoft?
Il 28 novembre 2018 Microsoft ha pubblicato questo avviso:
[Stiamo avvisando] i clienti di due certificati digitali divulgati inavvertitamente che potrebbero essere utilizzati per falsificare contenuto e per fornire un aggiornamento all'elenco di certificati attendibili (CTL) per rimuovere l'attendibilità in modalità utente per il certificati. I certificati radice divulgati non erano limitati e potevano essere utilizzati per emettere certificati aggiuntivi per usi quali la firma del codice e l'autenticazione del server.
- LEGGI ANCHE: Sito di download di VLC contrassegnato come malware da Microsoft
Nel caso in cui desideri essere sicuro durante la navigazione in Internet, dovrai procurarti uno strumento completamente dedicato per proteggere la tua rete. Installa ora Cyberghost VPN e mettiti al sicuro. Protegge il tuo PC dagli attacchi durante la navigazione, maschera il tuo indirizzo IP e blocca tutti gli accessi indesiderati.
Cosa significa questo per gli utenti?
Ciò che questo significa in un linguaggio che anche io posso capire è che Sennheiser, con una mossa non molto intelligente, ha deciso che due dei suoi prodotti, HeadSetup e HeadSetup Pro, installerebbe i certificati senza informare la persona che esegue l'installazione.
Due ulteriori errori di giudizio hanno aggravato la situazione:
- Il certificato è stato installato nella cartella di installazione del software.
- La stessa chiave di privacy è stata utilizzata per tutte le installazioni Sennheiser di HeadSetup o precedenti.
Il problema è che chiunque entri in possesso di quella chiave per la privacy ora ha accesso al sistema informatico su cui è stato installato Sennheiser HeadSetup e HeadSetup Pro.
Qual'è la soluzione? Scarica l'aggiornamento rapido
Ad essere onesti, stavo per scrivere un articolo lungo e forse incredibilmente noioso su cosa significa tutto questo per te come utente di Sennheiser. Fortunatamente, l'azienda ci ha salvati entrambi da quel calvario potenzialmente distruttivo dell'anima.
Sennheiser ha appena rilasciato un aggiornamento che non solo risolve il problema, ma elimina anche i sistemi del certificato originale che potrebbe aver causato il problema in primo luogo.
Vai da Sennheiser's HeadSetup Pro pagina e puoi leggere tutto su di esso.
Concludendo il tutto
Come sempre, assicurati di tenerti aggiornato con tutte le notizie su qualsiasi software che utilizzi e tieni un orecchio per terra per eventuali problemi di vulnerabilità segnalati.
Il modo migliore per farlo è assicurarti di aggiungere un segnalibro a Report di Windows e visitaci per tutte le notizie di cui potresti aver bisogno. Inoltre, scriviamo anche su molte altre cose interessanti!
POST CORRELATI CHE PUOI VOLERE VERIFICARE:
- Microsoft elimina il servizio di hotfix, ecco le alternative
- 7 migliori strumenti antimalware per Windows 10 per bloccare le minacce nel 2019
- I 5 migliori software antivirus per prevenire il ransomware Petya/GoldenEye
