Pokud používáte software Sennheiser HeadSetup a HeadSetup Pro, může být váš počítač vystaven vážnému riziku útoku. Společnost Microsoft vydala radu pod stručně nazvaným ADV180029 - Neúmyslně zveřejněné digitální certifikáty by mohly umožnit podvodnou kontrolu.

Pojďme zjistit, co o tom říká Microsoft, a pak uvidíme, co s tím můžeme dělat.

Kdo našel zranitelnost?

A docela často tomu tak není, společnost Sennheiser ani Microsoft nenašli skutečnou zranitelnost. Bylo nalezeno společností Secorvo Security Consulting GmbH. Úplnou zprávu si můžete přečíst zde. Podrobné informace o analýze CVE-2018-17612 si můžete prohlédnout v národní databázi chyb zabezpečení.

Co řekl Microsoft?

Dne 28. listopadu 2018 společnost Microsoft zveřejnila tuto radu:

zákazníci dvou neúmyslně zveřejněných digitálních certifikátů, které by mohly být použity k falešnému obsahu a poskytnutí aktualizace seznamu důvěryhodných certifikátů (CTL) k odstranění důvěryhodnosti certifikátů v uživatelském režimu. Zveřejněné kořenové certifikáty byly neomezené a mohly být použity k vydávání dalších certifikátů pro použití, jako je podepisování kódu a autentizace serveru.

• PŘEČTĚTE SI také: Stránky VLC ke stažení označené společností Microsoft jako malware

Co to znamená pro uživatele?

To, co to v jazyce znamená, že i já tomu rozumím, je to, že Sennheiser se v ne příliš chytrém tahu rozhodl, že dva ze svých produktů, HeadSetup a HeadSetup Pro, budou instalovat certifikáty, aniž by informovaly osobu provádějící instalaci.

Situace situaci ještě zhoršila dvě další chyby v posouzení:

1. Certifikát byl nainstalován v instalační složce softwaru.
2. Stejný klíč ochrany osobních údajů byl použit pro všechny instalace aplikace Sennheiser HeadSetup nebo starší.

Problém je v tom, že kdokoli, kdo získá tento klíč soukromí, má nyní přístup do počítačového systému Sennheiser HeadSetup a HeadSetup Pro, na kterém je nainstalován.

Co je řešení? Stáhněte si opravu hotfix

Abych byl upřímný, chystal jsem se napsat dlouhý a možná neuvěřitelně nudný článek o tom, co to pro vás jako uživatele Sennheiser znamená. Naštěstí nás naše společnost zachránila před tímto potenciálně ničivým utrpením.

Společnost Sennheiser právě vydala aktualizaci, která problém nejen vyřeší, ale také zbaví systémy původního certifikátu, který by problém mohl způsobit.

Přejděte na stránku HeadSetup Pro Sennheiser a můžete si o ní přečíst vše.

Zabalí to všechno

Jak je tomu vždy, ujistěte se, že budete neustále informováni o všech novinkách ohledně jakéhokoli softwaru, který používáte, a mějte ucho k zemi pro případné hlášené problémy se zranitelností.

Nejlepším způsobem, jak toho dosáhnout, je zajistit si záložku Windows Report a navštívit nás pro všechny novinky, které byste kdy mohli potřebovat. Navíc píšeme také o spoustě dalších skvělých věcí!