Nếu bạn đang sử dụng phần mềm Sennheiser HeadSetup và HeadSetup Pro, thì máy tính của bạn có thể có nguy cơ bị tấn công nghiêm trọng. Microsoft đã xuất bản một lời khuyên dưới cái tên lén lút có tên là ADV180029 - Chứng nhận kỹ thuật số được tiết lộ một cách vô tình có thể cho phép giả mạo.

Chúng ta hãy tìm hiểu những gì Microsoft nói về nó, và sau đó xem những gì chúng ta có thể làm về nó.

Ai tìm thấy lỗ hổng?

Và khá thường xuyên, lỗ hổng thực tế không được tìm thấy bởi Sennheiser hoặc thậm chí Microsoft. Nó được tìm thấy bởi Secorvo Security Consulting GmbH. Bạn có thể đọc báo cáo đầy đủ ở đây. Bạn có thể kiểm tra các chi tiết về phân tích CVE-2018-17612 bằng cách truy cập Cơ sở dữ liệu dễ bị tổn thương quốc gia.

Microsoft đã nói gì?

Vào ngày 28 tháng 11 năm 2018, Microsoft đã xuất bản lời khuyên này:

khách hàng của hai chứng nhận kỹ thuật số vô tình tiết lộ có thể được sử dụng để giả mạo nội dung và cung cấp bản cập nhật cho Danh sách ủy thác chứng chỉ (CTL) để xóa niềm tin ở chế độ người dùng cho chứng chỉ. Chứng chỉ gốc được tiết lộ không bị hạn chế và có thể được sử dụng để cấp chứng chỉ bổ sung cho các mục đích sử dụng như ký mã và xác thực máy chủ.

• ĐỌC C: NG: Trang web tải xuống VLC được Microsoft đánh dấu là phần mềm độc hại

Điều này có ý nghĩa gì với người dùng?

Điều này có nghĩa trong ngôn ngữ mà thậm chí tôi có thể hiểu là Sennheiser, trong một động thái không mấy thông minh, đã quyết định rằng hai sản phẩm của mình là HeadSetup và HeadSetup Pro sẽ cài đặt chứng chỉ mà không thông báo cho người thực hiện cài đặt.

Hai lỗi nữa trong phán đoán đã làm tăng thêm tình huống:

1. Chứng chỉ đã được cài đặt trong thư mục cài đặt của phần mềm.
2. Khóa bảo mật tương tự đã được sử dụng cho tất cả các cài đặt Sennheiser của Headsetup trở lên.

Vấn đề là bất cứ ai nắm giữ khóa riêng tư đó đều có quyền truy cập vào hệ thống máy tính Sennheiser HeadSetup và HeadSetup Pro đã được cài đặt trên đó.

Giải pháp là gì? Tải xuống hotfix

Thành thật mà nói, tôi đã viết một bài viết dài và có thể vô cùng nhàm chán, về tất cả những điều này có ý nghĩa với bạn như một người dùng Sennheiser. May mắn thay, công ty đã cứu cả hai chúng tôi khỏi thử thách hủy diệt linh hồn tiềm tàng đó.

Sennheiser vừa phát hành bản cập nhật không chỉ khắc phục sự cố mà còn hỗ trợ các hệ thống của chứng chỉ gốc có thể gây ra sự cố ngay từ đầu.

Truy cập vào trang Headsetup Pro của Sennheiser và bạn có thể đọc tất cả về nó.

Bao bọc tất cả

Như mọi khi, hãy đảm bảo rằng bạn luôn cập nhật tất cả các tin tức về bất kỳ phần mềm nào bạn sử dụng và luôn chú ý đến mọi vấn đề về lỗ hổng được báo cáo.

Cách tốt nhất để làm điều đó là đảm bảo bạn đánh dấu Báo cáo Windows và ghé thăm chúng tôi để biết tất cả các tin tức bạn cần. Thêm vào đó, chúng tôi viết về rất nhiều thứ hay ho khác!