Kung gumagamit ka ng Sennheiser HeadSetup at software ng HeadSetup Pro, maaaring ang iyong computer ay maaaring nasa malubhang peligro ng pag-atake. Ang Microsoft ay naglathala ng isang advisory sa ilalim ng snappily na pinangalanang ADV180029 - Hindi sinasadyang Naipalabas ang Mga Sertipiko ng Digital na Pinahihintulutan ng Spoofing.

Alamin natin kung ano ang sinasabi ng Microsoft tungkol dito, at pagkatapos ay tingnan kung ano ang magagawa natin tungkol dito.

Sino ang nakakita ng kahinaan?

At madalas na ang kaso, ang aktwal na kahinaan ay hindi natagpuan ni Sennheiser o kahit sa Microsoft. Ito ay natagpuan ng Secorvo Security Consulting GmbH. Maaari mong basahin ang buong ulat dito. Maaari mong suriin ang mga detalye ng pagsusuri ng CVE-2018-17612 sa pamamagitan ng pagbisita sa National Vulnerability Database.

Ano ang sinabi ng Microsoft?

Noong ika-28 ng Nobyembre, 2018 inilathala ng Microsoft ang advisory na ito:

mga customer ng dalawang hindi sinasadyang isiniwalat ang mga digital na sertipiko na maaaring magamit upang makamit ang nilalaman at magbigay ng pag-update sa Listahan ng Certificate Trust (CTL) upang alisin ang tiwala sa mode ng gumagamit para sa mga sertipiko. Ang isiniwalat na mga sertipiko ng ugat ay hindi pinigilan at maaaring magamit upang mag-isyu ng karagdagang mga sertipiko para sa paggamit tulad ng code sa pag-sign at pagpapatotoo ng server.

• READ ALSO: site ng pag-download ng VLC na minarkahan bilang malware ng Microsoft

Ano ang kahulugan nito sa mga gumagamit?

Ano ang kahulugan nito sa wika na kahit na maiintindihan ko ay si Sennheiser, sa isang hindi masyadong matalinong paglipat, ay nagpasya na ang dalawa sa mga produkto nito, ang HeadSetup at HeadSetup Pro, ay mag-install ng mga sertipiko nang hindi ipaalam sa taong gumagawa ng pag-install.

Dalawa pang mga pagkakamali sa paghuhusga na pinagsama ang sitwasyon:

1. Ang sertipiko ay na-install sa folder ng pag-install ng software.
2. Ang parehong key sa privacy ay ginamit para sa lahat ng pag-install ng Sennheiser ng HeadSetup o mas matanda.

Ang problema ay ang sinumang nakakakuha ng susi ng privacy na ito ay may access sa computer system na si Sennheiser HeadSetup at ang HeadSetup Pro ay na-install.

Ano ang solusyon? I-download ang hotfix

Upang maging matapat, malapit na akong sumulat ng isang mahaba, at marahil hindi mapaniniwalaan o kapani-paniwala na nakakainis, artikulo tungkol sa kung ano ang ibig sabihin ng lahat sa iyo bilang isang gumagamit ng Sennheiser. Sa kabutihang palad, ang kumpanya ay nai-save sa amin pareho mula sa potensyal na pagsisira ng kaluluwa.

Nagpakawala lamang si Sennheiser ng isang pag-update na hindi lamang nag-aayos ng problema ngunit sumugod din sa mga sistema ng orihinal na sertipiko na maaaring maging sanhi ng problema sa unang lugar.

Tumungo sa pahina ng headSetup Pro ng Sennheiser, at mabasa mo ang lahat tungkol dito.

I-wrap ang lahat

Tulad ng laging nangyayari, siguraduhing napapanatili mo ang lahat ng mga balita tungkol sa anumang software na ginagamit mo, at panatilihin ang isang tainga sa lupa para sa anumang naiulat na mga isyu sa kahinaan.

Ang pinakamahusay na paraan upang gawin iyon ay tiyaking na-bookmark mo ang Ulat ng Windows, at bisitahin kami sa lahat ng mga balita na maaari mo pang kailanganin. Dagdag pa, nagsusulat kami tungkol sa maraming iba pang mga cool na bagay!