Nul
Microsoft har udsendt en security advisory i dag advarsel der er to applikationer, der ved et uheld er installeret to rodcertifikater på brugeres computere, og så lækket de private nøgler for alle.
Software developer ‘ s fejl betyder, at ondsindet tredjepart kan udtrække de private nøgler fra de to programmer, og bruge dem til at udstede forfalskede certifikater til at efterligne legitime hjemmesider og software udgivere i de kommende år.
De to programmer er HeadSetup og HeadSetup Pro, som begge er udviklet af den tyske softwareudvikler Sennheiser. Den software, der bruges til at oprette og administrere softphones-software, apps til at lave telefon opkald via Internettet og en computer, uden at skulle have en egentlig fysisk telefon.
Problemet med de to HeadSetup apps, som kom frem tidligere på året, hvor tyske cyber-sikkerhed firma Secorvo fandt, at versioner 7.3, 7.4, og 8.0 installeret to root Certification Authority (CA) certifikater i Windows Trusted Root Certificate Store brugere’ computere, men omfattede også de private nøgler for alle i SennComCCKey.pem-fil.
I en rapport offentliggjort i dag, Secorvo forskere offentliggjort proof-of-concept kode, der viser, hvordan trivielle ville være for en hacker at analysere installatører for både apps og udtrække de private nøgler.
At gøre tingene værre, er de certifikater, der er også installeret for Mac-brugere, via HeadSetup macOS app-versioner, og de er ikke fjernet fra det operativsystem, der er Tillid til rodcertifikatet Butik under de nuværende HeadSetup opdateringer eller afinstallere operationer.
I forskernes egne ord, “ethvert system, som HeadSetup […] blev installeret på noget tidspunkt i de seneste […] forbliver sårbare”, indtil brugerne manuelt gennemgå Trusted Root Certificate Store, og fjern de to certifikater, eller indtil certifikater udløber, – som kunne være 13 januar, 2027, eller juli 27, 2037, hhv.
Sennheiser er softwareleverandør bag snafu, har indrømmet sin fejl og fjernede de to apps fra sin hjemmeside download-sektionen, mens de arbejder på en opdatering, der er planlagt til udgivelse senere i denne uge.
Selskabet siger, at dette HeadSetup vil søge og fjerne rodcertifikater fra de berørte systemer, og erstatte dem med nye, der ikke lække deres respektive private nøgler.
Kunder, der har installeret Sennheiser HeadSetup softwaren skal opdatere deres apps, når der er opdateringer. Brugere, der ikke har installeret Sennheiser HeadSetup software behøver ikke at foretage nogen handling, men de er stadig sårbare over for angreb.
I mellemtiden, Microsoft har opdateret selskabets Certificate Trust List (CTL) til at fjerne user-mode tillid i de tre certifikater. Dette betyder, at hjemmesider eller software, som er signeret med falske certifikater, der genereres ved hjælp af de tre ulovlige rodcertifikater vil udløse en fejl for Windows-brugere.
Brugere eller systemadministratorer, der ikke har råd til at vente, indtil Sennheiser frigiver en HeadSetup opdatering der fjerner den ulovlige certifikater kan kontrollere Secorvo rapport, afsnit 7.2, for at få instruktioner om, hvordan du manuelt fjerne de certifikater fra Windows Trusted Root Certificate Store. Sennheiser har også udgivet vejledninger om at fjerne de tre certifikater til Windows og macOS brugere.
Sennheiser er snafu, spores som CVE-2018-17612, er ikke den første af sin slags. I 2015, Lenovo afsendt laptops med et certifikat, der er udsat sin private nøgle i en skandale, der blev kendt som Superfish. Dell gjorde præcis det samme i 2016 i en tilsvarende dårlig sikkerhed hændelse, som blev kendt som eDellRoot.
Relaterede sikkerhed nyheder dækning:
Tyske eID-kort system sårbart over for online identitet spoofingRowhammer angreb kan nu bypass-ECC-hukommelse beskyttelseQuantum computing: Et cheat sheet TechRepublicde Fleste Pengeautomater kan blive hacket på under 20 minutter,Forskere opdage syv nye Nedsmeltning og Spectre angriberHTTP-over-QUIC at blive omdøbt HTTP/3Chrome er en ny måde at stoppe Spectre hackere CNETHacker bagdøre populære JavaScript-bibliotek til at stjæle midler Bitcoin
Relaterede Emner:
Virksomhedens Software
Sikkerhed-TV
Data Management
CXO
Datacentre
0