Af Nicolai Devantier, 29/11/18
Sennheiser-programmerne HeadSetup eller HeadSetup Pro til både Windows og MacOS her et certifikat-problem.
HeadSetup anvendes til at koble Sennheiser-hovedtelefoner sammen med software-baserede telefoniløsninger fra andre leverandører.
Ifølge Digi.no er problemet blandt andet, at det installerede certifikats private nøgle er tilgængelig i almindelig klartekst i en biblioteksfil, der følger med softwaren.
Da både certifikat og privat nøgle er ens på tværs af alle installationer, åbner denne sårbarhed for, at en angriber kan udstede certifikater, der er ’godkendt’ af producenten. Browseren accepterer certifikaterne og åbner derved for såkaldte man in the middle-angreb, hvor uvedkommende kan overvåge trafik.
Sennheiser har udsendt opdateringer til sine software-produkter,
Anbefaling:
Opdater altid dine software-produkter med de nyeste rettelser fra producenten.
Links:
- Headsetup and Headsetup Pro Update, information fra Sennheiser.
- Certificate Management Vulnerability in Sennheiser HeadSetup, analyse af problemet fra sikkerhedsfirmaet Secorvo (PDF).
- ADV180029 | Inadvertently Disclosed Digital Certificates Could Allow Spoofing, advarsel fra Microsoft.
- Sennheiser Headset Software Could Allow Man-in-the-Middle SSL Attacks, artikel fra Bleepingcomputer.
- Sennheiser med skikkelig sertifikatbrøler, artikel fra Digi.no.