Noll
Microsoft har släppt en säkerhetsbulletin idag varning om att två program av misstag installerat två rotcertifikat på användarnas datorer, och sedan läckt privata nycklar för alla.
Software developer ‘ s misstag innebär att en illvillig tredje part kan extrahera den privata nycklar från de två programmen och använda dem för att fråga förfalskade certifikat för att hitta legitima webbplatser och programvara utgivare för många år framöver.
De två programmen är HeadSetup och HeadSetup Pro, båda utvecklade av tyska utvecklare av programvara från Sennheiser. Programvaran används för att ställa in och hantera softphone-program program för att ringa via Internet och en dator, utan att behöva en verklig fysisk telefon.
Problemet med de två HeadSetup apps uppdagades tidigare i år när tyska cyber-bevakningsföretag Secorvo fann att versioner 7.3, 7.4 och 8.0 installerat två rotcertifikatutfärdare (CA) certifikat i Windows Betrodda rotcertifikat Lagra i användarnas datorer utan även ingår privata nycklar för alla i SennComCCKey.pem-fil.
I en rapport som publiceras idag, Secorvo forskare publicerade proof-of-concept-kod visar hur trivialt skulle vara för en angripare att analysera installatörer för både program och extrahera den privata nycklar.
Att göra saken värre, de certifikat som finns installerade även för Mac-användare, via HeadSetup macOS app versioner, och att de inte bort från operativsystemet Betrodda rotcertifikat Butik under nuvarande HeadSetup uppdateringar eller avinstallera verksamhet.
I forskarnas egna ord “varje system som HeadSetup […] installerades vid någon annan tidpunkt i det förflutna […] förblir utsatta” fram för användare att manuellt granska Betrodda rotcertifikat Butiken och ta bort de två certifikat, eller tills certifikat löper ut –som skulle kunna januari 13, 2027, eller 27 juli, 2037, respektive.
Sennheiser, programleverantören bakom snafu, har erkänt sitt misstag och tog bort två appar från sin webbplats ladda ner avsnittet när de arbetar på en uppdatering som är planerad att släppas senare den här veckan.
Företaget säger att detta HeadSetup kommer att söka och ta bort root-certifikat från de system som påverkas, och ersätta dem med nya som inte läcka sina respektive privata nycklar.
Kunder som har installerat Sennheiser HeadSetup programvaran ska uppdatera sina appar när uppdateringar blir tillgängliga. Användare som inte har installerat Sennheiser HeadSetup programvara behöver inte vidta några åtgärder, men de är fortfarande sårbara för attacker.
Under tiden, Microsoft har uppdaterat företagets Certifikat Lita på Listan (CTL) för att ta bort user-mode förtroende i tre certifikat. Detta innebär att webbplatser eller programvara som undertecknats med förfalskade certifikat som genereras med hjälp av de tre felande root-certifikat kommer att utlösa ett fel för Windows-användare.
Användare eller administratörer som inte har råd att vänta tills Sennheiser släpper en HeadSetup uppdatering som tar bort störande certifikat kan kontrollera Secorvo rapport, avsnitt 7.2, för instruktioner om hur man manuellt ta bort certifikat från Windows Betrodda rotcertifikat Butik. Sennheiser har också publicerat guider om hur du tar bort tre certifikat för Windows och macOS-användare.
Sennheiser ‘ s snafu, spårade som CVE-2018-17612, är inte den första i sitt slag. I och med 2015, Lenovo bärbara datorer levereras med ett certifikat som utsätts sitt privat nyckel i en skandal som blev känd som Superfish. Dell gjorde exakt samma sak i år 2016 i en lika dålig säkerhet händelse som blev känd som eDellRoot.
Relaterade säkerhet nyheter täckning:
Tyska eID-kort-systemet utsatta för online med falska identiteterRowhammer attacker kan nu bypass-ECC-minne skyddQuantum computing: En lathund TechRepublicde Flesta Uttagsautomater kan hacka på under 20 minuterForskare upptäcka sju nya Härdsmälta och Spectre attackerHTTP-över-QUIC att döpas HTTP/3Chrome har ett nytt sätt att stoppa Spectre hackare CNETHacker bakdörrar populära JavaScript-bibliotek för att stjäla Bitcoin medel
Relaterade Ämnen:
Affärssystem
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
0