Nul
Microsoft heeft een security advisory vandaag waarschuwing dat twee toepassingen per ongeluk geïnstalleerd, twee basiscertificaten op de computer van de gebruiker, en vervolgens gelekt van de privé sleutels voor alle.
De software developer ‘ s fout, betekent dat kwaadwillende derde partijen kunnen bij het uitpakken van de private sleutels van de twee toepassingen en gebruik de uitgifte van de vervalste certificaten te vervalsen van legitieme websites en software-uitgevers voor de komende jaren.
De twee toepassingen zijn HeadSetup en HeadSetup Pro, beide ontwikkeld door de duitse software-ontwikkelaar Sennheiser. De software wordt gebruikt voor het opzetten en beheren van gesprekken via de softphone-software apps voor telefoneren via het Internet en een computer, zonder dat een fysieke telefoon.
Het probleem met de twee HeadSetup apps aan het licht kwam eerder dit jaar bij het duitse cyber-security bedrijf Secorvo gevonden die versies 7.3, 7.4 8.0 is geïnstalleerd twee root Certification Authority (CA) certificaten in de Windows Root Certificate Store van computers van gebruikers, maar ook de privé sleutels voor alle in de SennComCCKey.pem-bestand.
In een vandaag gepubliceerd rapport, Secorvo onderzoekers gepubliceerd proof-of-concept code laat zien hoe triviaal zou zijn voor een aanvaller om het analyseren van de installateurs voor beide apps en uitpakken van de privé-sleutels.
Nog erger, de certificaten zijn geïnstalleerd Mac-gebruikers, via HeadSetup mac os versies van een app, en ze zijn niet uit het besturingssysteem verwijderd Vertrouwde Root Certificate Store tijdens de huidige HeadSetup updates of verwijderen operaties.
In onderzoekers’ eigen woorden: “elk systeem op die HeadSetup […] werd geïnstalleerd op enig moment in het verleden […] blijft kwetsbaar” tot gebruikers handmatig bekijken van de Trusted Root Certificate Store en verwijder de twee certificaten, of tot de certificaten verlopen –die zouden kunnen worden 13 januari 2027, of 27 juli, 2037, respectievelijk.
Sennheiser, de leverancier van de software achter de snafu, heeft toegegeven dat zijn fout en verwijderde de twee apps van haar website de download sectie, terwijl ze werken aan een update die is gepland voor een release later deze week.
Het bedrijf zegt dat dit HeadSetup zoek en verwijder de root certificaten voor van de betrokken systemen, en vervang ze door nieuwe die niet lek hun privé-sleutels.
Klanten die geïnstalleerd Sennheiser HeadSetup moet de software-update te maken van hun apps wanneer de updates beschikbaar zijn. Gebruikers die niet hebt geïnstalleerd Sennheiser HeadSetup software geen enkele actie te ondernemen, maar ze zijn nog steeds kwetsbaar voor aanvallen.
In de tussentijd, Microsoft heeft een update van de vennootschap Certificate Trust List (CTL) te verwijderen die door de gebruiker-modus vertrouwen in de drie certificaten. Dit betekent dat websites of software die is ondertekend met vervalste certificaten die zijn gegenereerd met behulp van de drie gewraakte root certificaten zal leiden tot een fout voor Windows-gebruikers.
Gebruikers of systeembeheerders die zich niet kunnen veroorloven om te wachten tot de Sennheiser brengt een HeadSetup update verwijdert de gewraakte certificaten kunt de Secorvo rapport, paragraaf 7.2, voor instructies over het handmatig verwijderen van de certificaten van de Vertrouwde Windows Root Certificate Store. Sennheiser is ook gepubliceerd gidsen over het verwijderen van de drie certificaten voor Windows en macOS gebruikers.
Sennheiser ‘ s snafu, bijgehouden, zoals CVE-2018-17612, is het niet de eerste van zijn soort. In 2015, Lenovo laptops geleverd met een certificaat die blootgesteld zijn private sleutel in een schandaal dat bekend werd als Superfish. Dell deed precies hetzelfde in 2016 in een even slechte security incident dat bekend werd als eDellRoot.
Gerelateerde security nieuws:
Duitse eID-kaart systeem kwetsbaar voor online identiteit spoofingRowhammer aanvallen kunnen nu bypass-ECC geheugen beschermingQuantum computing: Een cheat sheet TechRepublicde Meeste Geldautomaten kunnen worden gehackt in minder dan 20 minutenOnderzoekers ontdekken zeven nieuwe Crisis en de Spectre aanvallenHTTP-over-QUIC worden hernoemd HTTP/3Chrome heeft een nieuwe manier om te stoppen met Spectre hackers CNETHacker backdoors populairste JavaScript-bibliotheek om te stelen Bitcoin fondsen
Verwante Onderwerpen:
Enterprise Software
Beveiliging TV
Data Management
CXO
Datacenters
0