Якщо ви використовуєте Sennheiser HeadSetup та HeadSetup Pro, тоді ваш комп’ютер може мати серйозний ризик нападу. Корпорація Майкрософт опублікувала довідку під швидкою назвою ADV180029 - Ненавмисне розкриття цифрових сертифікатів може дозволити підробку.
Давайте з’ясуємо, що про це говорить Microsoft, а потім побачимо, що ми можемо з цим зробити.
Хто знайшов уразливість?
І досить часто це справді так вразливість не знайшов ні Sennheiser, ні навіть Microsoft. Це було знайдено Secorvo Security Consulting GmbH. Ви можете прочитати повний звіт тут. Ви можете перевірити деталі аналіз CVE-2018-17612 відвідавши Національну базу даних про вразливість.
Що сказав Microsoft?
28 листопада 2018 р. Microsoft опублікувала це повідомлення:
[Ми повідомляємо] клієнтів про два випадково розкриті цифрові сертифікати, які можна було використовувати для підробки вмісту та забезпечити оновлення Списку довіри сертифікатів (CTL) для видалення довіри до режиму користувача для сертифікати. Розкриті кореневі сертифікати не мають обмежень і можуть бути використані для видачі додаткових сертифікатів для таких цілей, як підпис коду та автентифікація сервера.
- ЧИТАЙТЕ ТАКОЖ: Сайт для завантаження VLC, позначений Microsoft як зловмисне програмне забезпечення
Якщо ви хочете бути в безпеці під час серфінгу в Інтернеті, вам потрібно буде отримати повністю спеціальний інструмент для захисту вашої мережі. Встановіть зараз Cyberghost VPN і захистити себе. Він захищає ваш ПК від атак під час перегляду веб-сторінок, маскує вашу IP-адресу та блокує весь небажаний доступ.
Що це означає для користувачів?
Що це означає на мові, яку я навіть розумію, це те, що Sennheiser, не дуже розумним кроком, вирішив, що два її продукти, HeadSetup та HeadSetup Pro встановлювали сертифікати, не повідомляючи особу, яка робила установку.
Ще дві помилки в судженнях ускладнили ситуацію:
- Сертифікат було встановлено в інсталяційній папці програмного забезпечення.
- Той самий ключ конфіденційності використовувався для всіх установок Sennheiser HeadSetup або старіших версій.
Проблема полягає в тому, що кожен, хто отримає цей ключ конфіденційності, тепер має доступ до комп’ютерної системи Sennheiser HeadSetup та HeadSetup Pro.
Яке рішення? Завантажте виправлення
Чесно кажучи, я збирався написати довгу і, можливо, неймовірно нудну статтю про те, що все це означає для вас як користувача Sennheiser. На щастя, компанія врятувала нас обох від цього потенційно винищуючого душу випробування.
Компанія Sennheiser щойно випустила оновлення, яке не тільки усуває проблему, але й позбавляє від системи оригінального сертифіката, що могло спричинити проблему.
Поїдьте до Sennheiser’s HeadSetup Pro сторінки, і ви можете прочитати все про це.
Обертаючи все це
Як завжди, переконайтесь, що ви в курсі всіх новин про будь-яке програмне забезпечення, яке ви використовуєте, і стежте за всіма повідомленнями про проблеми з уразливістю.
Найкращий спосіб зробити це - переконатися, що ви зробили закладку Windows Report, і відвідайте нас, щоб отримати всі новини, які вам коли-небудь знадобляться. Крім того, ми також пишемо про безліч інших цікавих речей!
ПОВ’ЯЗАНІ ОПАСУВАННЯ, ЩО ВИ МОЖЕТЕ ПЕРЕВІРИТИ:
- Microsoft вбиває службу виправлень, ось альтернативи
- 7 найкращих засобів захисту від шкідливих програм для Windows 10 для блокування загроз у 2019 році
- 5 найкращих антивірусних програм для запобігання вимогам Petya / GoldenEye
