Zero
Microsoft ha rilasciato un advisory di sicurezza di oggi avvertenza che due applicazioni accidentalmente installato due certificati radice nel computer degli utenti, e quindi trapelate le chiavi private per tutti.
Il software developer errore significa che dannoso di terze parti in grado di estrarre le chiavi private da due applicazioni e li usa per il problema forgiato certificati di falsificare siti web legittimi e gli editori di software per gli anni a venire.
Le due applicazioni sono HeadSetup e HeadSetup Pro, entrambi sviluppati da tedesco sviluppatore di software di Sennheiser. Il software è utilizzato per impostare e gestire i softphone –applicazioni software per effettuare chiamate telefoniche via Internet e un computer, senza la necessità di un effettivo fisico di telefono.
Il problema con i due HeadSetup applicazioni è venuto alla luce all’inizio di quest’anno, quando il tedesco per la sicurezza informatica azienda Secorvo trovato che le versioni 7.3, 7.4, e 8.0 installato due Autorità di Certificazione (CA) certificati in Windows Archivio di Certificati Attendibili dei computer degli utenti, ma anche le chiavi private per tutti i SennComCCKey.file pem.
In un rapporto pubblicato oggi, Secorvo, i ricercatori hanno pubblicato proof-of-concept di codice che mostra come banale sarebbe per un utente malintenzionato di analizzare i programmi di installazione per applicazioni ed estrarre le chiavi private.
Per peggiorare le cose, i certificati vengono installati anche per gli utenti Mac, via HeadSetup macOS versioni app, e non vengono rimossi dal sistema operativo dell’Archivio di Certificati Attendibili durante il corrente HeadSetup aggiornamenti o disinstallare operazioni.
In ricercatori parole “ogni sistema su cui HeadSetup […] è stato installato in qualsiasi momento nel passato […] rimane vulnerabile” fino a quando gli utenti di controllare manualmente l’Archivio di Certificati Attendibili e rimuovere i due certificati, o fino a quando i certificati scadono –che potrebbe essere il prossimo 13 gennaio, 2027, o 27 luglio, 2037, rispettivamente.
Sennheiser, il fornitore del software dietro il snafu, ha ammesso il suo errore e rimosso le due app dal proprio sito, nella sezione download, mentre si sta lavorando su un aggiornamento previsto per il rilascio entro questa settimana.
L’azienda dice che questo HeadSetup ricerca e rimuovere il root certificati da sistemi interessati, e sostituirli con quelli nuovi che non abbiano perdite rispettive chiavi private.
I clienti che hanno installato Sennheiser HeadSetup software dovrebbe aggiornare la propria app quando sono disponibili aggiornamenti. Gli utenti che non hanno installato Sennheiser HeadSetup software non è necessario intraprendere alcuna azione, ma sono ancora vulnerabili agli attacchi.
Nel frattempo, Microsoft ha aggiornato la società Certificate Trust List (CTL) per rimuovere user-mode fiducia nelle tre certificati. Questo significa che i siti web o software firmato con forgiati certificati generati utilizzando i tre offendere certificati radice attiverà un errore per gli utenti Windows.
Gli utenti o gli amministratori di sistema che non possono permettersi di aspettare fino a quando Sennheiser rilascia un HeadSetup aggiornamento che rimuove offendere i certificati possono controllare il Secorvo report, sezione 7.2, per le istruzioni su come rimuovere manualmente i certificati da Windows Archivio di Certificati Attendibili. Sennheiser ha pubblicato anche guide su come rimuovere i tre certificati per Windows e macOS utenti.
Sennheiser snafu, tracciati come CVE-2018-17612, non è il primo del suo genere. Nel 2015, Lenovo spedito i portatili con un certificato che ha esposto la sua chiave privata in uno scandalo che divenne noto come il Superfish. Dell ha fatto la stessa identica cosa nel 2016 in un simile brutto incidente di sicurezza che divenne noto come eDellRoot.
Sicurezza riguardanti la copertura delle notizie:
Tedesco eID scheda di sistema vulnerabile per l’identità online di spoofingRowhammer attacchi possono ora bypass memoria ECC protezioniQuantum computing: Un foglietto TechRepublicla Maggior parte dei Bancomat può essere violato in meno di 20 minutiRicercatori scoprono sette nuovi Crollo e di Spettro di attacchiHTTP-over-QUIC essere rinominato HTTP/3Chrome ha un nuovo modo per interrompere Spettro hacker CNETHacker backdoor popolare libreria JavaScript per rubare Bitcoin fondi
Argomenti Correlati:
Enterprise Software
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati
0