Sennheiser HeadSetupおよびHeadSetup Proソフトウェアを使用している場合、コンピューターが深刻な攻撃の危険にさらされている可能性があります。 マイクロソフトは、ADV180029という名前で、誤って公開されたデジタル証明書によりなりすましが可能になるというアドバイザリーを公開しました。

Microsoftがそれについて何を言っているのかを調べてから、それについて何ができるかを見てみましょう。

誰がこの脆弱性を発見しましたか？

よくあるケースですが、実際の脆弱性はゼンハイザーやマイクロソフトでさえ発見されませんでした。 Secorvo Security Consulting GmbHによって発見されました。 ここで完全なレポートを読むことができます。 National Vulnerability Databaseにアクセスして、CVE-2018-17612の分析の詳細を確認できます。

マイクロソフトは何と言っていますか？

2018年11月28日に、マイクロソフトはこのアドバイザリを公開しました。

コンテンツを偽装し、証明書のユーザーモードの信頼を削除するための証明書信頼リスト（CTL）の更新を提供するために使用される可能性のある2つのデジタル証明書の顧客。 開示されたルート証明書は無制限であり、コード署名やサーバー認証などの用途で追加の証明書を発行するために使用できます。

• また読む：マイクロソフトによってマルウェアとしてマークされたVLCダウンロードサイト

これはユーザーにとって何を意味しますか？

私が理解できる言語でこれが意味することは、ゼンハイザーはそれほど賢明ではない動きで、その製品の2つであるHeadSetupとHeadSetup Proがインストールを行う人に通知せずに証明書をインストールすることを決定したということです。

さらに2つの判断ミスが状況を悪化させました。

1. 証明書は、ソフトウェアのインストールフォルダーにインストールされました。
2. 同じセットアップキーが、HeadSetup以前のすべてのSennheiserインストールに使用されました。

問題は、そのプライバシーキーを取得した人は誰でも、Sennheiser HeadSetupおよびHeadSetup Proがインストールされているコンピューターシステムにアクセスできることです。

解決策は何ですか？ 修正プログラムをダウンロードする

正直に言うと、私はこれがSennheiserユーザーとしてのあなたにとって何を意味するのかについて、非常に退屈な長い記事を書くつもりでした。 幸いなことに、この会社は私たちを潜在的に魂を破壊する試練から私たちを救いました。

Sennheiserは、問題を修正するだけでなく、そもそも問題の原因となった可能性のある元の証明書をシステムから削除するアップデートをリリースしました。

SennheiserのHeadSetup Proページにアクセスすると、そのすべてを読むことができます。

すべてをまとめる

常にそうであるように、使用するソフトウェアに関するすべてのニュースを常に最新の状態に保ち、報告された脆弱性の問題を常に把握してください。

そのための最善の方法は、Windowsレポートをブックマークして、必要なニュースをすべて入手することです。 さらに、他の多くのクールなものについても書いています！