Jika anda menggunakan perisian Sennheiser HeadSetup dan HeadSetup Pro, maka komputer anda mungkin menghadapi risiko serangan yang serius. Microsoft telah menerbitkan nasihat di bawah ADV180029 yang bernasib baik - Sijil-sijil Digital yang tidak disengajakan Boleh Membenarkan Pengkhianatan.

Mari cari apa yang dikatakan oleh Microsoft tentangnya, dan kemudian lihat apa yang boleh kita lakukan mengenainya.

Siapa yang mendapati kelemahan itu?

Dan selalunya perkara itu, kelemahan sebenar tidak dijumpai oleh Sennheiser atau bahkan Microsoft. Ia dijumpai oleh Secorvo Security Consulting GmbH. Anda boleh membaca laporan penuh di sini. Anda boleh menyemak butiran analisis CVE-2018-17612 dengan melawat Pangkalan Data Kerentanan Kebangsaan.

Apa yang dikatakan oleh Microsoft?

Pada 28 November, 2018 Microsoft menerbitkan nasihat ini:

pelanggan dua sijil digital yang didedahkan secara tidak sengaja yang boleh digunakan untuk menipu kandungan dan memberikan kemas kini kepada Senarai Kepercayaan Sijil (CTL) untuk menghapuskan kepercayaan mod pengguna untuk sijil. Sijil akar yang didedahkan adalah tidak terhad dan boleh digunakan untuk mengeluarkan sijil tambahan untuk penggunaan seperti penandaan kod dan pengesahan pelayan.

• BACA JUGA: Laman muat turun VLC ditandakan sebagai malware oleh Microsoft

Apakah maksud ini kepada pengguna?

Apa ini bermakna dalam bahasa yang saya dapat faham adalah bahawa Sennheiser, dengan langkah yang tidak bijak, memutuskan bahawa dua produknya, HeadSetup dan HeadSetup Pro, akan memasang sijil tanpa memberitahu orang yang melakukan pemasangan.

Dua lagi kesilapan dalam penghakiman telah menimbulkan keadaan:

1. Sijil telah dipasang di dalam folder pemasangan perisian.
2. Kunci privasi yang sama telah digunakan untuk semua pemasangan Sennheiser HeadSetup atau yang lebih tua.

Masalahnya ialah sesiapa yang memegang kunci privasi itu kini mempunyai akses kepada sistem komputer Sennheiser HeadSetup dan HeadSetup Pro telah dipasang.

Apakah cara penyelesaiannya? Muat turun hotfix

Sejujurnya, saya hendak menulis artikel yang panjang dan mungkin sangat membosankan mengenai apa yang dimaksudkan dengan ini sebagai pengguna Sennheiser. Mujurlah, syarikat itu telah menyelamatkan kita dari ancaman merosakkan jiwa yang berpotensi.

Sennheiser baru sahaja mengeluarkan satu pembaharuan yang bukan sahaja membetulkan masalah tetapi juga menimbulkan sistem sijil asal yang boleh menyebabkan masalah di tempat pertama.

Teruskan ke laman Sennheiser's HeadSetup Pro, dan anda boleh membaca semua tentangnya.

Bungkus semuanya

Seperti yang selalu berlaku, pastikan anda sentiasa dikemaskinikan dengan semua berita tentang perisian yang anda gunakan, dan simpan telinga untuk alasan untuk sebarang isu kelemahan yang dilaporkan.

Cara terbaik untuk melakukannya ialah memastikan anda membuat penanda halaman Windows Report, dan lawati kami untuk semua berita yang anda perlukan. Tambahan pula, kami menulis mengenai banyak barangan sejuk yang lain juga!