Ένα ελάττωμα στο λογισμικό HeadSetup της Sennheiser, το οποίο λειτουργεί με τα ακουστικά της εταιρείας, επιτρέπει την πραγματοποίηση επιθέσεων man in the middle. Η γερμανική εταιρεία Secorvo δημοσίευσε μια έκθεση ευπάθειας και η Sennheiser έχει ενημερώσει το λογισμικό της για την εξάλειψη της απειλής.
Το εν λόγω θέμα ευπάθειας παρουσιάζεται επειδή το λογισμικό εγκαθιστά ένα πιστοποιητικό ρίζας και ένα κρυπτογραφημένο ιδιωτικό κλειδί στο Trusted Root CA Certificate store. Με αυτόν τον τρόπο, μπορεί να δημιουργηθεί ένα πλαστογραφημένο πιστοποιητικό και να εμφανίζεται ως έγκυρο στους τελικούς χρήστες. Η σύνδεση με ιστότοπους HTTPS θα εξακολουθεί να εμφανίζει μια ασφαλή σύνδεση, παρόλο που μια κακόβουλη οντότητα θα μπορούσε να αποκτήσει πρόσβαση σε οποιαδήποτε δεδομένα που μεταδίδονται.
Στα HeadSetup και HeadSetup Pro, τα ευάλωτα πιστοποιητικά δεν θα εγκαθίστανται πλέον. Η Sennheiser δημοσίευσε μια δέσμη ενεργειών που θα αφαιρέσει τα πιστοποιητικά που επηρεάζονται στους υπολογιστές που έχουν προσβληθεί, καθώς και έναν οδηγό που θα χρησιμοποιεί το Active Directory και τον Group Policy Editor για να επιτύχει το ίδιο αποτέλεσμα.
Το πρόβλημα επηρεάζει υπολογιστές με Windows και MacOS.
Πηγή : Techspot
Vulnerability report εδώ
Εμφάνιση 1-4 από 4
-
29-11-18, 22:18 Σοβαρό κενό ασφαλείας στο λογισμικό HeadSetup της Sennheiser #1
- Εγγραφή
- 22-09-2003
- Μηνύματα
- 81.746
- Downloads
- 218
- Uploads
- 48
- Άρθρα
- 6
- Τύπος
- VDSL2
- Ταχύτητα
- 204800/20480
- ISP
- Wind
- Router
- Technicolor DGA4130
- SNR / Attn
- 6(dB) / 2.8(dB)
- Path Level
- Interleaved
-
30-11-18, 10:01 Απάντηση: Σοβαρό κενό ασφαλείας στο λογισμικό HeadSetup της Sennheiser #2
Για να καταλάβω, η σύνδεση στο ίντερνετ μπορεί να γίνει ανασφαλής επειδή τα ακουστικά που ακούω μουσική κάναν μία βλακεία στο pairing; Πόσο μακριά έχουν φτάσει πια τα malware;
-
30-11-18, 11:28 Απάντηση: Σοβαρό κενό ασφαλείας στο λογισμικό HeadSetup της Sennheiser #3
- Εγγραφή
- 22-09-2003
- Μηνύματα
- 81.746
- Downloads
- 218
- Uploads
- 48
- Άρθρα
- 6
- Τύπος
- VDSL2
- Ταχύτητα
- 204800/20480
- ISP
- Wind
- Router
- Technicolor DGA4130
- SNR / Attn
- 6(dB) / 2.8(dB)
- Path Level
- Interleaved
Από όσο κατάλαβα, έβαζε Root cert και αποθήκευε το password του τοπικά σε plain text και καλά hashed κάτι. Το pass ήταν κοινό για όλες τις εγκαταστάσεις και με λίγο reverese engineering το βρήκαν και μπορούσαν να κάνουν trusted οποιαδήποτε σελίδα στον browser, αφού έβλεπε legit κλειδί στα Root certs.
We'll build a fortress to keep them out and in a world gone silent I'll be your sound and if they try to hurt you I'll tear them down I'm always with you now....
I forgot that I might see, so many Beautiful things
everything that has a beginning has an end
See the mirror in your eyes-see the truth behind your lies-your lies are haunting me See the reason in your eyes-giving answer to the why- your eyes are haunting me
-
02-12-18, 13:51 Απάντηση: Σοβαρό κενό ασφαλείας στο λογισμικό HeadSetup της Sennheiser #4
Άϊ αμ κουφντ!
Παρόμοια Θέματα
-
Σοβαρό κενό ασφαλείας των Intel επεξεργαστών της τελευταίας 10ετίας, απαιτεί patch που μειώνει την απόδοση τους
Από nnn στο φόρουμ ΕιδήσειςΜηνύματα: 605Τελευταίο Μήνυμα: 06-03-19, 09:46 -
Σημαντικό κενό ασφαλείας στις προγραμματισμένες εργασίες των windows
Από sdikr στο φόρουμ ΕιδήσειςΜηνύματα: 15Τελευταίο Μήνυμα: 31-08-18, 17:17 -
Πολύ σοβαρό κενό ασφαλείας του Skype θα αντιμετωπιστεί με πλήρη νέα έκδοση αντί για patch
Από nnn στο φόρουμ ΕιδήσειςΜηνύματα: 51Τελευταίο Μήνυμα: 23-03-18, 16:17 -
Το Project Zero της Google, δημοσιοποιεί κενό ασφαλείας του Microsoft Edge
Από nnn στο φόρουμ ΕιδήσειςΜηνύματα: 24Τελευταίο Μήνυμα: 23-02-18, 12:35 -
Σοβαρό κενό ασφαλείας εντοπίστηκε στο MacOS High Sierra
Από nnn στο φόρουμ ΕιδήσειςΜηνύματα: 27Τελευταίο Μήνυμα: 02-12-17, 12:07
Bookmarks