Connect with us

News

Sennheiser Headset potrebbe consentire attacchi SSL man-in-the-middle

Redazione

Pubblicato

il

Quando gli utenti hanno installato il software HeadSetup di Sennheiser, poco sanno che il software stava anche installando un certificato di root nell’archivio certificati CA Trusted Root. A peggiorare le cose, il software stava anche installando una versione crittografata della chiave privata del certificato che non era sicura come avrebbero potuto pensare gli sviluppatori.

Simile al fiasco SuperFish di Lenovo , questo certificato e la sua chiave privata associata erano uguali per tutti coloro che hanno installato il particolare software. Questo potrebbe consentire a un utente malintenzionato in grado di decrittografare la chiave privata di emettere certificati fraudolenti sotto altri domini di cui non ha alcun controllo. Ciò consentirebbe loro di eseguire attacchi man-in-the-middle per fiutare il traffico quando un utente visita questi siti.

Mentre questi file di certificati vengono eliminati quando un utente disinstalla il software HeadSetup, il certificato radice attendibile non è stato rimosso. Ciò consentirebbe a un utente malintenzionato che aveva la chiave privata giusta di continuare a eseguire attacchi anche quando il software non era più installato sul computer.

Secorvo aveva divulgato in modo responsabile questa vulnerabilità a Sennheiser in anticipo e gli è stato rilasciato l’ID ID unico CVE-2018-17612.  mNel frattempo, Sennheiser ha rilasciato un file batch  e informazioni che possono essere utilizzate per rimuovere i certificati per coloro che vogliono essere protetti immediatamente. È fortemente consigliato che tutti gli utenti di HeadSetup scarichino ed eseguano questo script per rimuovere i certificati vulnerabili.



Ti potrebbe interessare

Attacco hacker al Pd: online cellulari e indirizzi Il gruppo AnonPlus attacca e colpisce la sede del PD di Firenze. Dal tweet del gruppo si può identificare un file che contiene molti indirizzi email, ...
Fortnite per Android : Epic Games avverte di falsi... Epic Games produttrice di  Fortnite uno dei più popolari giochi open-free del momento, avverte che la versione per android è attualmente in sviluppo e...
Hacking Team – gli USA non intendono collabo... La vicenda risale al 2015 quando la società Milanese Hacking Team fu ideatrice del virus Galileo spia venduto a svariate polizie di tutto il mondo. L'...
Scoperto Malware su Google Drive I ricercatori di Cybersecurity hanno  individuato una nuova campagna di attacco malware collegata al famigerato gruppo APT DarkHydrus che utilizza Goo...

Lo staff di Hackerjournal che vi fornisce ogni giorno notizie, recensioni, anteprime e interviste legate alla sicurezza digitale.

Facebook Comment


In Edicola


Dal 15 FEBBGRAIO 2019!

Forum

Facebook

Trending

IN EDICOLA