Wenn Sie die Sennheiser HeadSetup- und HeadSetup Pro-Software verwenden, ist Ihr Computer möglicherweise einem ernsthaften Angriffsrisiko ausgesetzt. Microsoft hat eine Empfehlung unter dem blitzschnellen Namen ADV180029 veröffentlicht - Versehentlich bekannt gegebene digitale Zertifikate können Spoofing zulassen.

Lassen Sie uns herausfinden, was Microsoft dazu sagt, und dann sehen, was wir dagegen tun können.

Wer hat die Sicherheitslücke gefunden?

Und nicht selten wurde die eigentliche Schwachstelle von Sennheiser oder gar Microsoft nicht gefunden. Es wurde von der Secorvo Security Consulting GmbH gefunden. Den vollständigen Bericht können Sie hier lesen. Informationen zur Analyse von CVE-2018-17612 finden Sie in der National Vulnerability Database.

Was hat Microsoft gesagt?

Am 28. November 2018 veröffentlichte Microsoft diese Empfehlung:

Kunden von zwei versehentlich freigegebenen digitalen Zertifikaten, die zum Fälschen von Inhalten und zum Bereitstellen einer Aktualisierung der Zertifikatvertrauensliste (Certificate Trust List, CTL) verwendet werden können, um die Benutzermodusvertrauensstellung für die Zertifikate zu entfernen. Die offengelegten Stammzertifikate waren nicht eingeschränkt und konnten zum Ausstellen zusätzlicher Zertifikate für Zwecke wie Codesignatur und Serverauthentifizierung verwendet werden.

• LESEN SIE AUCH: VLC-Download-Site, die von Microsoft als Malware gekennzeichnet wurde

Was bedeutet das für Benutzer?

Was dies in einer Sprache bedeutet, die selbst ich verstehen kann, ist, dass Sennheiser in einem nicht sehr klugen Schachzug entschieden hat, dass zwei seiner Produkte, HeadSetup und HeadSetup Pro, Zertifikate installieren, ohne die Person zu informieren, die die Installation durchführt.

Zwei weitere Urteilsfehler haben die Situation verschärft:

1. Das Zertifikat wurde im Installationsordner der Software installiert.
2. Für alle Sennheiser-Installationen von HeadSetup oder älter wurde derselbe Datenschutzschlüssel verwendet.

Das Problem ist, dass jeder, der über diesen Datenschutzschlüssel verfügt, jetzt Zugriff auf das Computersystem hat, auf dem Sennheiser HeadSetup und HeadSetup Pro installiert wurden.

Was ist die Lösung? Laden Sie den Hotfix herunter

Um ehrlich zu sein, war ich dabei, einen langen und möglicherweise unglaublich langweiligen Artikel darüber zu schreiben, was dies alles für Sie als Sennheiser-Benutzer bedeutet. Glücklicherweise hat das Unternehmen uns beide vor dieser möglicherweise seelenverderblichen Tortur bewahrt.

Sennheiser hat gerade ein Update veröffentlicht, das nicht nur das Problem behebt, sondern auch Systeme mit dem Originalzertifikat befreit, das das Problem ursprünglich verursacht haben könnte.

Besuchen Sie die HeadSetup Pro-Seite von Sennheiser, und lesen Sie alles darüber.

Alles einpacken

Vergewissern Sie sich wie immer, dass Sie über alle Neuigkeiten bezüglich der von Ihnen verwendeten Software auf dem Laufenden sind, und informieren Sie sich über gemeldete Sicherheitslücken.

Der beste Weg, dies zu tun, ist sicherzustellen, dass Sie Windows Report als Lesezeichen speichern und uns besuchen, um alle Neuigkeiten zu erfahren, die Sie jemals benötigen könnten. Außerdem schreiben wir auch über viele andere coole Sachen!