Ja jūs izmantojat Sennheiser HeadSetup un HeadSetup Pro programmatūru, jūsu datoram var būt nopietns uzbrukuma risks. Korporācija Microsoft ir publicējusi padomu ar nosaukumu ADV180029 - netīši atklātie digitālie sertifikāti varētu ļaut mānīt.

Uzzināsim, ko par to saka Microsoft, un tad redzēsim, ko mēs varam darīt.

Kas atrada ievainojamību?

Un diezgan bieži tas notiek, patieso ievainojamību neatrada Sennheiser vai pat Microsoft. To atrada Secorvo Security Consulting GmbH. Ar pilnu ziņojumu var izlasīt šeit. Jūs varat uzzināt sīkāku informāciju par CVE-2018-17612 analīzi, apmeklējot Nacionālo ievainojamības datu bāzi.

Ko ir teicis Microsoft?

2018. gada 28. novembrī Microsoft publicēja šo ieteikumu:

Divu klientu klienti netīšām atklāja digitālos sertifikātus, kurus varēja izmantot, lai sagrozītu saturu un nodrošinātu sertifikātu uzticamības saraksta (CTL) atjauninājumu, lai noņemtu lietotāja režīma uzticēšanos sertifikātiem. Atklātie saknes sertifikāti nebija neierobežoti, un tos varēja izmantot, lai izsniegtu papildu sertifikātus tādiem lietojumiem kā koda parakstīšana un servera autentifikācija.

• LASĪT ARĪ: VLC lejupielādes vietne, kuru Microsoft ir atzīmējusi kā ļaunprātīgu programmatūru

Ko tas nozīmē lietotājiem?

Ko tas nozīmē valodā, kuru es pat saprotu, tas nozīmē, ka Sennheiser ne visai gudrā rīcībā nolēma, ka divi tā produkti - HeadSetup un HeadSetup Pro - instalēs sertifikātus, neinformējot par instalēšanu atbildīgo personu.

Situāciju ir sarežģījušas vēl divas kļūdas spriedumā:

1. Sertifikāts tika instalēts programmatūras instalēšanas mapē.
2. Tāda pati konfidencialitātes atslēga tika izmantota visām Sennheiser instalētajām HeadSetup vai vecākām versijām.

Problēma ir tā, ka ikvienam, kurš saņem šo konfidencialitātes atslēgu, tagad ir piekļuve datorsistēmai Sennheiser HeadSetup un HeadSetup Pro ir instalēta.

Kāds ir risinājums? Lejupielādējiet labojumfailu

Godīgi sakot, es gatavojos rakstīt garu un, iespējams, neticami garlaicīgu rakstu par to, ko tas viss nozīmē jums kā Sennheiser lietotājam. Par laimi, uzņēmums mūs ir izglābis no potenciāli dvēseli sagraujošās grūtībām.

Sennheiser tikko izlaida atjauninājumu, kas ne tikai novērš problēmu, bet arī atbrīvo oriģinālā sertifikāta sistēmas, kas, pirmkārt, varēja izraisīt problēmu.

Dodieties uz Sennheiser HeadSetup Pro lapu, un jūs varat izlasīt visu par to.

To visu iesaiņojot

Kā vienmēr, pārliecinieties, ka esat pastāvīgi atjaunināts ar jaunumiem par jebkuru programmatūru, kuru izmantojat, un sekojiet līdzi visām ziņotajām ievainojamības problēmām.

Labākais veids, kā to izdarīt, ir pārliecināties, vai pievienojat grāmatzīmi Windows pārskatam un apmeklējat mūs, lai atrastu visas ziņas, kas jums varētu būt vajadzīgas. Turklāt mēs rakstām arī par daudzām citām interesantām lietām!