Se você estiver usando Sennheiser Os softwares HeadSetup e HeadSetup Pro, então o seu computador pode correr sério risco de ataque. A Microsoft publicou um comunicado sob o nome rapidamente ADV180029 - Certificados digitais divulgados inadvertidamente podem permitir falsificação.
Vamos descobrir o que a Microsoft diz sobre isso e ver o que podemos fazer a respeito.
Quem encontrou a vulnerabilidade?
E é frequentemente o caso, o real vulnerabilidade não foi encontrado por Sennheiser ou mesmo pela Microsoft. Foi encontrado pela Secorvo Security Consulting GmbH. Você pode ler o relatório completo aqui. Você pode verificar os detalhes de a análise de CVE-2018-17612 visitando o National Vulnerability Database.
O que a Microsoft disse?
Em 28 de novembro de 2018, a Microsoft publicou este comunicado:
[Estamos notificando] os clientes sobre dois certificados digitais divulgados inadvertidamente que podem ser usados para falsificar conteúdo e fornecer uma atualização para a lista de certificados confiáveis (CTL) para remover a confiança do modo de usuário para o certificados. Os certificados raiz divulgados eram irrestritos e podiam ser usados para emitir certificados adicionais para usos como assinatura de código e autenticação de servidor.
- LEIA TAMBÉM: Site de download VLC marcado como malware pela Microsoft
Caso queira estar seguro ao navegar na Internet, você precisará obter uma ferramenta totalmente dedicada para proteger sua rede. Instale agora Cyberghost VPN e proteja-se. Ele protege seu PC de ataques durante a navegação, mascara seu endereço IP e bloqueia todos os acessos indesejados.
O que isso significa para os usuários?
O que isso significa em uma linguagem que até eu posso entender é que a Sennheiser, em uma jogada não muito inteligente, decidiu que dois de seus produtos, HeadSetup e HeadSetup Pro, iria instalar certificados sem informar a pessoa que faz a instalação.
Dois outros erros de julgamento agravaram a situação:
- O certificado foi instalado na pasta de instalação do software.
- A mesma chave de privacidade foi usada para todas as instalações Sennheiser do HeadSetup ou anteriores.
O problema é que qualquer pessoa que obtiver essa chave de privacidade agora terá acesso ao sistema de computador no qual o Sennheiser HeadSetup e HeadSetup Pro foi instalado.
Qual é a solução? Baixe o hotfix
Para ser honesto, eu estava prestes a escrever um artigo longo, e possivelmente incrivelmente chato, sobre o que tudo isso significa para você como um usuário da Sennheiser. Felizmente, a empresa nos salvou dessa provação potencialmente destruidora de almas.
A Sennheiser acaba de lançar uma atualização que não apenas corrige o problema, mas também elimina os sistemas do certificado original que poderiam ter causado o problema em primeiro lugar.
Vá para o Sennheiser's HeadSetup Pro página, e você pode ler tudo sobre isso.
Resumindo tudo
Como sempre é o caso, certifique-se de se manter atualizado com todas as notícias sobre qualquer software que você usa e fique atento a qualquer problema de vulnerabilidade relatado.
A melhor maneira de fazer isso é marcar o Windows Report e nos visitar para obter todas as notícias de que você possa precisar. Além disso, escrevemos sobre muitas outras coisas legais também!
POSTS RELACIONADOS QUE VOCÊ PODE DESEJAR VERIFICAR:
- A Microsoft elimina o serviço de hotfix, aqui estão as alternativas
- 7 melhores ferramentas antimalware para Windows 10 para bloquear ameaças em 2019
- 5 melhores softwares antivírus para prevenir o ransomware Petya / GoldenEye
