Jeśli używasz Sennheiser HeadSetup i HeadSetup Pro, wtedy komputer może być poważnie zagrożony atakiem. Microsoft opublikował poradę pod nazwą the ADV180029 — Nieumyślnie ujawnione certyfikaty cyfrowe mogą pozwolić na fałszowanie.
Dowiedzmy się, co Microsoft o tym mówi, a następnie zobaczmy, co możemy z tym zrobić.
Kto znalazł lukę?
I często tak jest, rzeczywista słaby punkt nie został znaleziony przez Sennheisera ani nawet Microsoft. Został znaleziony przez Secorvo Security Consulting GmbH. Możesz przeczytać pełny raport tutaj. Możesz sprawdzić szczegóły analiza CVE-2018-17612 odwiedzając Krajową Bazę Danych Podatności.
Co powiedział Microsoft?
W dniu 28 listopada 2018 r. Microsoft opublikował tę poradę:
[Powiadamiamy] klientów o dwóch nieumyślnie ujawnionych certyfikatach cyfrowych, które mogą zostać wykorzystane do podszycia się treści i dostarczenie aktualizacji listy zaufania certyfikatów (CTL) w celu usunięcia zaufania trybu użytkownika dla certyfikaty. Ujawnione certyfikaty główne były nieograniczone i mogły być używane do wystawiania dodatkowych certyfikatów do zastosowań takich jak podpisywanie kodu i uwierzytelnianie serwera.
- PRZECZYTAJ TAKŻE: Witryna pobierania VLC oznaczona przez Microsoft jako złośliwe oprogramowanie
Jeśli chcesz być bezpieczny podczas surfowania po Internecie, będziesz potrzebować w pełni dedykowanego narzędzia do zabezpieczenia swojej sieci. Zainstaluj teraz Cyberghost VPN i zabezpiecz się. Chroni Twój komputer przed atakami podczas przeglądania, maskuje Twój adres IP i blokuje wszelki niepożądany dostęp.
Co to oznacza dla użytkowników?
W języku, który nawet ja rozumiem, oznacza to, że Sennheiser, niezbyt sprytnym posunięciem, zdecydował, że dwa z jego produktów Ustawienia głowy i HeadSetup Pro zainstalują certyfikaty bez informowania osoby wykonującej instalację.
Sytuację pogorszyły dwa kolejne błędy w ocenie:
- Certyfikat został zainstalowany w folderze instalacyjnym oprogramowania.
- Ten sam klucz prywatności został użyty we wszystkich instalacjach Sennheiser HeadSetup lub starszych.
Problem polega na tym, że każdy, kto zdobędzie ten klucz prywatności, ma teraz dostęp do systemu komputerowego, na którym zainstalowano Sennheiser HeadSetup i HeadSetup Pro.
Jakie jest rozwiązanie? Pobierz poprawkę
Szczerze mówiąc, miałem zamiar napisać długi i być może niesamowicie nudny artykuł o tym, co to wszystko oznacza dla Ciebie jako użytkownika Sennheisera. Na szczęście firma uratowała nas obu przed tą potencjalnie niszczącą duszę męką.
Sennheiser właśnie wydał aktualizację, która nie tylko rozwiązuje problem, ale także usuwa oryginalne certyfikaty z systemów, które mogły spowodować problem w pierwszej kolejności. .
Udaj się do Sennheisera HeadSetup Pro i możesz o tym przeczytać.
Zawijanie tego wszystkiego
Jak zawsze, upewnij się, że jesteś na bieżąco ze wszystkimi wiadomościami na temat używanego oprogramowania i śledź wszelkie zgłoszone problemy z lukami w zabezpieczeniach.
Najlepszym sposobem na to jest dodanie zakładki Raport systemu Windows i odwiedzenie nas, aby uzyskać wszystkie wiadomości, których możesz potrzebować. Dodatkowo piszemy też o wielu innych fajnych rzeczach!
POWIĄZANE WPISY, KTÓRE MOŻESZ ZOBACZYĆ:
- Microsoft zabija usługę poprawek, oto alternatywy
- 7 najlepszych narzędzi antymalware dla systemu Windows 10 do blokowania zagrożeń w 2019 roku
- 5 najlepszych programów antywirusowych do zapobiegania ransomware Petya/GoldenEye
