Если вы используете программное обеспечение Sennheiser HeadSetup и HeadSetup Pro, то ваш компьютер может подвергнуться серьезному риску атаки. Microsoft опубликовала рекомендацию под условным названием ADV180029 - непреднамеренно раскрытые цифровые сертификаты могут допускать подделку.

Давайте выясним, что Microsoft говорит по этому поводу, а затем посмотрим, что мы можем с этим поделать.

Кто нашел уязвимость?

И довольно часто фактическая уязвимость не была обнаружена ни Sennheiser, ни даже Microsoft. Он был найден Secorvo Security Consulting GmbH. Вы можете прочитать полный отчет здесь. Вы можете проверить детали анализа CVE-2018-17612, посетив Национальную базу данных уязвимостей.

Что сказала Microsoft?

28 ноября 2018 года Microsoft опубликовала эту рекомендацию:

заказчики двух непреднамеренно раскрытых цифровых сертификатов, которые можно использовать для подмены контента и предоставления обновления в список доверия сертификатов (CTL) для удаления доверия сертификатов в режиме пользователя. Раскрытые корневые сертификаты были неограниченными и могли использоваться для выдачи дополнительных сертификатов для таких целей, как подписывание кода и проверка подлинности сервера.

• ЧИТАЙТЕ ТАКЖЕ: сайт загрузки VLC помечен Microsoft как вредоносный

Что это значит для пользователей?

Что это означает для языка, который даже я могу понять, так это то, что Sennheiser, не очень умный ход, решил, что два его продукта, HeadSetup и HeadSetup Pro, будут устанавливать сертификаты, не сообщая об этом человеку, выполняющему установку.

Еще две ошибки в суждении усугубили ситуацию:

1. Сертификат был установлен в папку установки программного обеспечения.
2. Один и тот же ключ конфиденциальности использовался для всех установок Sennheiser в HeadSetup или более ранней версии

Проблема заключается в том, что любой, кто получил этот ключ конфиденциальности, теперь имеет доступ к компьютерной системе, на которой установлены Sennheiser HeadSetup и HeadSetup Pro.

Каково решение? Загрузите исправление

Честно говоря, я собирался написать длинную и, возможно, невероятно скучную статью о том, что все это значит для вас как пользователя Sennheiser. К счастью, компания спасла нас обоих от этого потенциально разрушающего душу испытания.

Sennheiser только что выпустил обновление, которое не только устраняет проблему, но и избавляет системы от оригинального сертификата, которые могли вызвать проблему в первую очередь.

Перейдите на страницу HeadSetup Pro от Sennheiser, и вы сможете прочитать все об этом.

Завершение всего этого

Как всегда, убедитесь, что вы в курсе всех новостей о любом программном обеспечении, которое вы используете, и внимательно следите за любыми сообщениями об уязвимостях.

Лучший способ сделать это - убедиться, что вы добавили в закладки Windows Report, и посетите нас, чтобы узнать все новости, которые вам могут понадобиться. Кроме того, мы также пишем о многих других интересных вещах!