Se si utilizzano i software Sennheiser HeadSetup e HeadSetup Pro, il computer potrebbe essere gravemente a rischio di attacco. Microsoft ha pubblicato un advisory con il nome scattante ADV180029 - I certificati digitali divulgati inavvertitamente potrebbero consentire lo spoofing.

Scopriamo cosa dice Microsoft a riguardo e quindi vediamo cosa possiamo fare al riguardo.

Chi ha riscontrato la vulnerabilità?

Ed è abbastanza spesso il caso, l'effettiva vulnerabilità non è stata rilevata da Sennheiser o persino da Microsoft. È stato trovato da Secorvo Security Consulting GmbH. Puoi leggere il rapporto completo qui. Puoi controllare i dettagli dell'analisi di CVE-2018-17612 visitando il National Vulnerability Database.

Cosa ha detto Microsoft?

Il 28 novembre 2018 Microsoft ha pubblicato questo advisory:

i clienti di due certificati digitali inavvertitamente divulgati che potrebbero essere utilizzati per falsificare il contenuto e per fornire un aggiornamento all'elenco di certificati attendibili (CTL) per rimuovere l'attendibilità in modalità utente per i certificati. I certificati radice divulgati non avevano restrizioni e potevano essere utilizzati per emettere certificati aggiuntivi per usi come la firma del codice e l'autenticazione del server.

• LEGGI ANCHE: sito di download VLC contrassegnato come malware da Microsoft

Cosa significa questo per gli utenti?

Ciò che questo significa in un linguaggio che anche io posso capire è che Sennheiser, con una mossa non molto intelligente, ha deciso che due dei suoi prodotti, HeadSetup e HeadSetup Pro, avrebbero installato i certificati senza informare la persona che stava eseguendo l'installazione.

Altri due errori di giudizio hanno aggravato la situazione:

1. Il certificato è stato installato nella cartella di installazione del software.
2. La stessa chiave di privacy è stata utilizzata per tutte le installazioni Sennheiser di HeadSetup o precedenti.

Il problema è che chiunque sia in possesso di quella chiave di privacy ora ha accesso al sistema informatico su cui sono stati installati Sennheiser HeadSetup e HeadSetup Pro.

Qual'è la soluzione? Scarica l'aggiornamento rapido

Ad essere sincero, stavo per scrivere un lungo, e forse incredibilmente noioso, articolo su cosa questo significhi per te come utente Sennheiser. Fortunatamente, la compagnia ci ha salvati entrambi da quel calvario potenzialmente distruttivo per l'anima.

Sennheiser ha appena rilasciato un aggiornamento che non solo risolve il problema, ma elimina anche i sistemi del certificato originale che potrebbero aver causato il problema in primo luogo.

Vai alla pagina HeadSetup Pro di Sennheiser e puoi leggere tutto al riguardo.

Avvolgendo tutto

Come sempre, assicurati di tenerti aggiornato con tutte le notizie su qualsiasi software che usi e tieni d'occhio per eventuali problemi di vulnerabilità segnalati.

Il modo migliore per farlo è assicurarti di aggiungere segnalibri a Windows Report e di visitarci per tutte le notizie di cui potresti mai aver bisogno. Inoltre, scriviamo anche molte altre cose interessanti!