Jos käytät Sennheiser HeadSetup- ja HeadSetup Pro -ohjelmistoja, tietokoneesi voi olla vakava hyökkäysriski. Microsoft on julkaissut suosituksen nimellä ADV180029 - Tahattomasti julkistetut digitaaliset sertifikaatit voivat sallia huijauksen.

Otetaan selvää, mitä Microsoft sanoo siitä, ja katsotaan sitten, mitä voimme tehdä sille.

Kuka löysi haavoittuvuuden?

Ja on melko usein niin, että todellista haavoittuvuutta ei löytänyt Sennheiser tai edes Microsoft. Se löysi Secorvo Security Consulting GmbH. Voit lukea koko raportin täältä. Voit tarkistaa CVE-2018-17612 -analyysin yksityiskohdat käymällä kansallisessa haavoittuvuustietokannassa.

Mitä Microsoft on sanonut?

Microsoft julkaisi 28. marraskuuta 2018 tämän ohjeen:

Kahden asiakkaan paljastama tahattomasti digitaalinen sertifikaatti, jota voidaan käyttää pilaamaan sisältöä ja tarjoamaan päivitys varmenteiden luottamusluetteloon (CTL) varmenteiden käyttäjätilan luottamuksen poistamiseksi. Julkaistut juurivarmenteet eivät olleet rajoittamattomia, ja niitä voitiin käyttää myöntämään lisävarmenteita sellaisiin käyttötarkoituksiin kuin koodin allekirjoittaminen ja palvelimen todennus.

• LUE LISÄÄ: VLC: n lataussivusto, jonka Microsoft on merkinnyt haittaohjelmaksi

Mitä tämä tarkoittaa käyttäjille?

Tämä tarkoittaa kielellä, jota jopa ymmärrän, että Sennheiser päätti erittäin älykkäällä liikkeellä, että kaksi sen tuotteista, HeadSetup ja HeadSetup Pro, asentavat varmenteet ilmoittamatta siitä asennuksen tekijälle.

Kaksi muuta arviointivirhettä ovat sekoittaneet tilanteen:

1. Varmenne asennettiin ohjelmiston asennuskansioon.
2. Samaa tietosuojaavainta käytettiin kaikkiin Sennheiser-asennuksiin, joissa on HeadSetup tai vanhempi.

Ongelmana on, että jokaisella, joka saa tietosuoja-avaimen, on nyt pääsy tietokonejärjestelmään Sennheiser HeadSetup ja HeadSetup Pro on asennettu.

Mikä on ratkaisu? Lataa korjaus

Totta puhuen, olin aikeissa kirjoittaa pitkän ja mahdollisesti uskomattoman tylsän artikkelin siitä, mitä tämä kaikki tarkoittaa sinulle Sennheiser-käyttäjänä. Onneksi yritys on pelastanut meidät molemmat mahdollisesti sielua tuhoavasta koettelusta.

Sennheiser on juuri julkaissut päivityksen, joka ei vain korjaa ongelmaa, vaan myös auttaa alkuperäisen sertifikaatin järjestelmiä, jotka ovat saattaneet aiheuttaa ongelman ensinnäkin.

Siirry Sennheiserin HeadSetup Pro -sivulle ja voit lukea siitä kaiken.

Kääri kaiken

Kuten aina, varmista, että pidät ajan tasalla kaikista käyttämääsi ohjelmistoja koskevista uutisista, ja pidä korvasi kentällä kaikista ilmoitetuista haavoittuvuuksista.

Paras tapa tehdä tämä on varmistaa, että merkitset Windows-raportin kirjanmerkkeihisi, ja käydä meillä kaikista uutisista, joita ikinä tarvitset. Lisäksi kirjoitamme myös paljon muista hienoja juttuja!