Si utilitzeu programari Sennheiser HeadSetup i HeadSetup Pro, pot ser que el vostre ordinador tingui un risc greu d'atac. Microsoft ha publicat un assessorament anomenat ADV180029: els certificats digitals divulgats de manera inadvertida que podrien permetre que es facessin difusions.

Esbrineu què diu Microsoft al respecte i, a continuació, veiem què podem fer al respecte.

Qui ha trobat la vulnerabilitat?

I és sovint el cas, la vulnerabilitat real no la va trobar Sennheiser ni tan sols Microsoft. Ha estat trobat per Secorvo Security Consulting GmbH. Podeu llegir l’informe complet aquí. Podeu consultar els detalls de l’anàlisi de CVE-2018-17612 visitant la base de dades nacional de vulnerabilitat.

Què ha dit Microsoft?

El 28 de novembre de 2018, Microsoft va publicar aquest assessorament:

clients de dos certificats digitals revelats inadvertidament que es podrien utilitzar per espatllar contingut i proporcionar una actualització a la llista de confiança de certificats (CTL) per eliminar la confiança en mode d'usuari dels certificats. Els certificats arrel revelats no tenien restriccions i es podrien utilitzar per emetre certificats addicionals per a usos com la signatura de codi i l'autenticació del servidor.

• LLEGIR TAMBÉ: el lloc de descàrrega VLC marcat com a programari maliciós per Microsoft

Què significa això per als usuaris?

El que això vol dir en un llenguatge que fins i tot puc entendre és que Sennheiser, en un moviment no gaire intel·ligent, va decidir que dos dels seus productes, HeadSetup i HeadSetup Pro, instal·lessin certificats sense informar la persona que fes la instal·lació.

Dos errors més en el judici han complicat la situació:

1. El certificat es va instal·lar a la carpeta d’instal·lació del programari.
2. La mateixa clau de privadesa es va utilitzar per a totes les instal·lacions de Sennheiser de HeadSetup o versions anteriors.

El problema és que qualsevol usuari que tingui accés a la clau de privadesa té ara accés al sistema informàtic Sennheiser HeadSetup i HeadSetup Pro.

Quina és la solució? Baixeu la revisió

Per ser sincer, estava a punt d’escriure un llarg article, i possiblement increïble, avorrit sobre tot això per a tu com a usuari de Sennheiser. Afortunadament, la companyia ens ha salvat tots dos d’aquest esforç potencialment destructor d’ànimes.

Sennheiser acaba de publicar una actualització que no només soluciona el problema, sinó que també elimina els sistemes del certificat original que podrien haver provocat el problema en primer lloc.

Dirigiu-vos a la pàgina Pro HeadSetup de Sennheiser i podeu llegir-ho tot.

Empaquetant-ho tot

Com és sempre el cas, assegureu-vos de mantenir-vos al dia de totes les novetats sobre qualsevol programari que utilitzeu i vigilar els problemes relacionats amb la vulnerabilitat.

La millor manera de fer-ho és assegurar-se que marqueu el Windows Report i que ens visiteu per obtenir totes les novetats que pugui necessitar. A més, també escrivim sobre moltes altres coses interessants.