Software fra Sennheiser kan åbne for man-in-the-middle-angreb.

Sennheiser, der er kendt for firmaets hovedtelefoner, er løbet ind i et certifikat-problem i den tilhørende software.

Sennheiser-programmerne HeadSetup eller HeadSetup Pro til både Windows og MacOS her et certifikat-problem.

HeadSetup anvendes til at koble Sennheiser-hovedtelefoner sammen med software-baserede telefoniløsninger fra andre leverandører.

Ifølge Digi.no er problemet blandt andet, at det installerede certifikats private nøgle er tilgængelig i almindelig klartekst i en biblioteksfil, der følger med softwaren.

Da både certifikat og privat nøgle er ens på tværs af alle installationer, åbner denne sårbarhed for, at en angriber kan udstede certifikater, der er ’godkendt’ af producenten. Browseren accepterer certifikaterne og åbner derved for såkaldte man in the middle-angreb, hvor uvedkommende kan overvåge trafik.

Sennheiser har udsendt opdateringer til sine software-produkter,

Anbefaling:

Opdater altid dine software-produkter med de nyeste rettelser fra producenten.

Links: