Якщо ви використовуєте програмне забезпечення Sennheiser HeadSetup та HeadSetup Pro, то ваш комп'ютер може піддаватися серйозній небезпеці нападу. Корпорація Майкрософт опублікувала рекомендацію під назвою ADV180029 - Цифрові сертифікати ненавмисно розкриті можуть дозволити підробляти.

Давайте з’ясуємо, що Microsoft каже про це, а потім подивимося, що ми можемо з цим зробити.

Хто виявив вразливість?

І це часто трапляється так, що справжню вразливість Sennheiser або навіть Microsoft не виявили. Це було знайдено компанією Secorvo Security Consulting GmbH. Повний звіт ви можете прочитати тут. Ви можете ознайомитись з деталями аналізу CVE-2018-17612, відвідавши Національну базу даних про вразливість.

Що сказав Microsoft?

28 листопада 2018 року Microsoft опублікувала цю рекомендацію:

Клієнти двох випадково розкрили цифрові сертифікати, які можуть використовуватися для підроблення вмісту та надання оновлення до списку довіри сертифікатів (CTL) для видалення довіри в сертифікаті користувача в режимі користувача. Розкриті кореневі сертифікати були необмеженими і можуть використовуватися для видачі додаткових сертифікатів для таких застосувань, як підписання коду та автентифікація сервера.

• ЧИТАЙТЕ ТАКОЖ: сайт завантаження VLC, позначений Microsoft як зловмисне програмне забезпечення

Що це означає для користувачів?

Що це означає мовою, яку навіть я можу зрозуміти, це те, що Sennheiser, не дуже розумним кроком, вирішив, що два її продукти, HeadSetup та HeadSetup Pro, встановлять сертифікати, не повідомляючи про це особу, яка проводить встановлення.

Ще дві помилки в суді ускладнили ситуацію:

1. Сертифікат був встановлений у папці установки програмного забезпечення.
2. Той самий ключ конфіденційності використовувався для всіх встановлень Sennheiser із HeadSetup або старіших версій.

Проблема полягає в тому, що кожен, хто отримає цей ключ конфіденційності, тепер має доступ до комп'ютерної системи Sennheiser HeadSetup та HeadSetup Pro.

Яке рішення? Завантажте виправлення

Якщо чесно, я збирався написати довгу і, можливо, неймовірно нудну статтю про те, що це все означає для вас як користувача Sennheiser. На щастя, компанія врятувала нас обох від цього потенційно руйнівного душі.

Sennheiser щойно випустив оновлення, яке не тільки виправляє проблему, але й позбавляє системи оригінального сертифіката, що могло спричинити проблему в першу чергу.

Перейдіть на сторінку HeadSetup Pro Sennheiser, і ви можете прочитати про нього все.

Згортаючи все це

Як завжди, переконайтеся, що ви завжди в курсі всіх новин про будь-яке програмне забезпечення, яке ви використовуєте, і постійно слухайте будь-які проблеми, про які повідомляється.

Найкращий спосіб зробити це - переконатися, що ви розмітили закладки Windows Report і відвідайте нас для всіх новин, які вам можуть знадобитися. Крім того, ми пишемо і про багато інших цікавих речей!