Hvis du bruger Sennheiser HeadSetup og HeadSetup Pro-software, kan din computer muligvis have en alvorlig risiko for angreb. Microsoft har offentliggjort en rådgivning under det snacks navngivne ADV180029 - Uforvarende afslørede digitale certifikater kunne tillade forfalskning.

Lad os finde ud af, hvad Microsoft siger om det, og se derefter, hvad vi kan gøre med det.

Hvem fandt sårbarheden?

Og er ofte ofte tilfældet, den egentlige sårbarhed blev ikke fundet af Sennheiser eller endda Microsoft. Det blev fundet af Secorvo Security Consulting GmbH. Du kan læse den fulde rapport her. Du kan tjekke detaljerne i analysen af ​​CVE-2018-17612 ved at besøge den nationale sårbarhedsdatabase.

Hvad har Microsoft sagt?

Den 28. november 2018 offentliggjorde Microsoft denne vejledning:

kunder af to utilsigtet afslørede digitale certifikater, der kunne bruges til at forfalske indhold og til at give en opdatering til Certificate Trust List (CTL) for at fjerne tillid til brugertilstand for certifikaterne. De afslørede rodcertifikater var ubegrænsede og kunne bruges til at udstede yderligere certifikater til anvendelser såsom kodesignering og servergodkendelse.

• LÆS OGSÅ: VLC-downloadwebsite markeret som malware af Microsoft

Hvad betyder det for brugerne?

Hvad dette betyder på sprog, som jeg selv kan forstå, er, at Sennheiser i et ikke særlig smart træk besluttede, at to af dets produkter, HeadSetup og HeadSetup Pro, ville installere certifikater uden at informere den person, der udførte installationen.

To yderligere fejl i dommen har forværret situationen:

1. Certifikatet blev installeret i softwarens installationsmappe.
2. Den samme fortrolighedsnøgle blev brugt til alle Sennheiser-installationer af HeadSetup eller ældre.

Problemet er, at enhver, der får fat i denne privatlivsnøgle, nu har adgang til computersystemet Sennheiser HeadSetup og HeadSetup Pro er installeret på.

Hvad er løsningen? Download hotfix

For at være ærlig, var jeg ved at skrive en lang, og muligvis utroligt kedelig, artikel om, hvad alt dette betyder for dig som Sennheiser-bruger. Heldigvis har virksomheden reddet os begge fra den potentielt sjæledærgende prøvelse.

Sennheiser har netop frigivet en opdatering, der ikke kun løser problemet, men også kører systemer med det originale certifikat, der kunne have forårsaget problemet i første omgang.

Gå over til Sennheisers HeadSetup Pro-side, og du kan læse alt om det.

Indpakning af det hele

Som altid er tilfældet, skal du sørge for at holde dig ajour med alle nyhederne om software, du bruger, og holde øre til jorden for eventuelle rapporterede sårbarhedsproblemer.

Den bedste måde at gøre det på er at sikre, at du bogmærker Windows-rapport og besøger os for alle de nyheder, du nogensinde har brug for. Plus, vi skriver også om mange andre seje ting!