Ja jūs izmantojat Senheizer HeadSetup un HeadSetup Pro programmatūru, tad jūsu datoram var būt nopietns uzbrukuma risks. Korporācija Microsoft ir publicējusi padomdevēju ar saīsinātu nosaukumu ADV180029 - Nejauši atklātie digitālie sertifikāti varētu atļaut krāpšanos.
Noskaidrosim, ko Microsoft par to saka, un tad redzēsim, ko mēs varam darīt.
Kas atrada ievainojamību?
Un tas bieži notiek, faktiski ievainojamība neatrada Sennheiser vai pat Microsoft. To atrada Secorvo Security Consulting GmbH. Jūs varat izlasīt pilnu ziņojumu šeit. Jūs varat pārbaudīt informāciju par analīze CVE-2018-17612 apmeklējot Nacionālo ievainojamības datu bāzi.
Ko Microsoft ir teicis?
2018. gada 28. novembrī Microsoft publicēja šo padomu:
[Mēs paziņojam] klientiem par diviem netīšām atklātiem digitālajiem sertifikātiem, kurus varētu izmantot krāpšanai saturu un nodrošināt sertifikātu uzticamības saraksta (CTL) atjauninājumu, lai noņemtu lietotāja režīma uzticamību sertifikātus. Atklātie saknes sertifikāti nebija ierobežoti, un tos varēja izmantot, lai izsniegtu papildu sertifikātus tādiem lietojumiem kā koda parakstīšana un servera autentifikācija.
- LASI ARĪ: VLC lejupielādes vietne Microsoft atzīmēja kā ļaunprātīgu programmatūru
Gadījumā, ja sērfojot internetā vēlaties būt drošs, jums būs jāiegūst pilnībā izveidots rīks tīkla aizsardzībai. Instalējiet tūlīt Cyberghost VPN un nodrošiniet sevi. Tas aizsargā jūsu datoru no uzbrukumiem pārlūkošanas laikā, maskē jūsu IP adresi un bloķē visu nevēlamo piekļuvi.
Ko tas nozīmē lietotājiem?
Ko tas nozīmē valodā, kuru pat es varu saprast, ir tas, ka Sennheiser, ne visai gudri rīkojoties, nolēma, ka divi tā produkti, HeadSetup un HeadSetup Pro instalētu sertifikātus, neinformējot par to personu, kas veic instalēšanu.
Situāciju saasina vēl divas kļūdas spriedumā:
- Sertifikāts tika instalēts programmatūras instalācijas mapē.
- Viena un tā pati konfidencialitātes atslēga tika izmantota visām Sennheiser instalētajām HeadSetup vai vecākām versijām.
Problēma ir tā, ka ikvienam, kurš saņem šo privātuma atslēgu, tagad ir piekļuve datorsistēmai Sennheiser HeadSetup un HeadSetup Pro ir instalēta.
Kāds ir risinājums? Lejupielādējiet labojumfailu
Ja godīgi, es grasījos uzrakstīt garu un, iespējams, neticami garlaicīgu rakstu par to, ko tas viss nozīmē jums kā Sennheiser lietotājam. Par laimi, uzņēmums mūs abus ir izglābis no šī potenciāli dvēseli postošā pārbaudījuma.
Sennheiser tikko izlaida atjauninājumu, kas ne tikai novērš problēmu, bet arī atbrīvo no sākotnējā sertifikāta sistēmām, kas varētu būt izraisījusi problēmu.
Dodieties uz Sennheiser’s HeadSetup Pro lapā, un jūs varat par to visu izlasīt.
To visu ietin
Kā vienmēr, pārliecinieties, ka esat regulāri informēts par jaunumiem par jebkuru izmantoto programmatūru, un sekojiet līdzi visiem iespējamiem ievainojamības jautājumiem.
Labākais veids, kā to izdarīt, ir pārliecināties, vai esat atzīmējis Windows atskaiti, un apmeklējiet mūs, lai uzzinātu visus jaunumus, kas jums kādreiz varētu būt nepieciešami. Turklāt mēs arī rakstām par daudzām citām lietām!
SAISTĪTĀS POSTI, KAS VAR VĒLIES PĀRBAUDĪT:
- Microsoft nogalina labojumfailu servisu, šeit ir norādītas alternatīvas
- 7 labākie antimalware rīki operētājsistēmai Windows 10 draudu bloķēšanai 2019. gadā
- 5 labākās pretvīrusu programmatūras, lai novērstu Petya / GoldenEye ransomware
