Sennheiser HeadSetup ve HeadSetup Pro yazılımı kullanıyorsanız, bilgisayarınız ciddi saldırı riski altında olabilir. Microsoft, ADV180029 adında gizli bir ad altında bir danışma belgesi yayınladı - Yanlışlıkla Açıklanan Dijital Sertifikalar Sahte Sızmaya İzin Verebilir.

Microsoft'un bu konuda ne söylediğini bulalım ve sonra bu konuda ne yapabileceğimize bir bakalım.

Güvenlik açığını kim buldu?

Oldukça sık durum söz konusuysa, asıl güvenlik açığı Sennheiser ve hatta Microsoft tarafından bulunamadı. Secorvo Güvenlik Danışmanlığı GmbH tarafından bulundu. Raporun tamamını buradan okuyabilirsiniz. Ulusal Güvenlik Açığı Veritabanını ziyaret ederek CVE-2018-17612 analizinin ayrıntılarını kontrol edebilirsiniz.

Microsoft ne dedi?

28 Kasım 2018’de Microsoft bu danışma belgesini yayımladı:

içeriği istemeden taklit etmek ve sertifikalara kullanıcı modu güvenini kaldırmak için Sertifika Güven Listesi'nde (CTL) bir güncelleme sağlamak için kullanılabilecek iki dijital müşterinin istemcileri açıkladı. Açıklanan kök sertifikalar sınırsızdı ve kod imzalama ve sunucu kimlik doğrulaması gibi kullanımlar için ek sertifikalar vermek için kullanılabilir.

• Ayrıca OKUYUN: VLC indirme sitesi Microsoft tarafından malware olarak işaretlenmiş

Bu kullanıcılar için ne anlama geliyor?

Bunun anlamını bildiğim dilde, Sennheiser'ın çok akıllı olmayan bir hamleyle, iki ürünü HeadSetup ve HeadSetup Pro'nun kurulum yapan kişiye haber vermeksizin sertifikaları kurmaya karar verdikleri anlamına geliyor.

Yargılamadaki iki başka hata durumu daha da artırdı:

1. Sertifika, yazılımın kurulum klasörüne kuruldu.
2. Aynı gizlilik anahtarı, HeadSetup veya daha eski tüm Sennheiser kurulumları için kullanıldı.

Sorun şu ki, bu gizlilik anahtarını ele geçiren herkesin şu anda Sennheiser HeadSetup ve HeadSetup Pro bilgisayar sistemine erişimi var.

Çözüm nedir? Düzeltmeyi indirin

Dürüst olmak gerekirse, bunların bir Sennheiser kullanıcısı olarak sizin için ne anlama geldiği hakkında uzun ve muhtemelen inanılmaz sıkıcı bir yazı yazmak üzereydim. Neyse ki, şirket ikimizi de potansiyel olarak ruhu yok eden sıkıntıdan kurtardı.

Sennheiser, sadece sorunu gidermekle kalmayıp aynı zamanda ilk başta soruna neden olabilecek orijinal sertifikanın sistemlerini de içeren bir güncelleme yayınladı.

Sennheiser’in HeadSetup Pro sayfasına gidin ve onunla ilgili her şeyi okuyabilirsiniz.

Hepsini sarmala

Her zaman olduğu gibi, kullandığınız herhangi bir yazılım hakkındaki tüm haberleri takip ettiğinizden emin olun ve bildirilen tüm güvenlik açıkları ile ilgili olarak kulaklarınıza kulak verin.

Bunu yapmanın en iyi yolu, Windows Raporu'nu işaretlemenizi ve ihtiyaç duyabileceğiniz tüm haberler için bizi ziyaret etmenizi sağlamaktır. Artı, biz de birçok güzel şeyler hakkında yazıyoruz!