Connect with us

News

Sennheiser Headset potrebbe consentire attacchi SSL man-in-the-middle

Redazione

Published

on

Quando gli utenti hanno installato il software HeadSetup di Sennheiser, poco sanno che il software stava anche installando un certificato di root nell’archivio certificati CA Trusted Root. A peggiorare le cose, il software stava anche installando una versione crittografata della chiave privata del certificato che non era sicura come avrebbero potuto pensare gli sviluppatori.

Simile al fiasco SuperFish di Lenovo , questo certificato e la sua chiave privata associata erano uguali per tutti coloro che hanno installato il particolare software. Questo potrebbe consentire a un utente malintenzionato in grado di decrittografare la chiave privata di emettere certificati fraudolenti sotto altri domini di cui non ha alcun controllo. Ciò consentirebbe loro di eseguire attacchi man-in-the-middle per fiutare il traffico quando un utente visita questi siti.

Mentre questi file di certificati vengono eliminati quando un utente disinstalla il software HeadSetup, il certificato radice attendibile non è stato rimosso. Ciò consentirebbe a un utente malintenzionato che aveva la chiave privata giusta di continuare a eseguire attacchi anche quando il software non era più installato sul computer.

Secorvo aveva divulgato in modo responsabile questa vulnerabilità a Sennheiser in anticipo e gli è stato rilasciato l’ID ID unico CVE-2018-17612.  mNel frattempo, Sennheiser ha rilasciato un file batch  e informazioni che possono essere utilizzate per rimuovere i certificati per coloro che vogliono essere protetti immediatamente. È fortemente consigliato che tutti gli utenti di HeadSetup scarichino ed eseguano questo script per rimuovere i certificati vulnerabili.



Ti potrebbe interessare

Microsoft sventa attacchi hacker verso candidati d... Microsoft ha rivelato di aver scoperto e aiutato il governo statunitense a bloccare i tentativi di hacking russo contro almeno tre candidati al congre...
Anonymous Italia: Violati siti di università e cen... Dal comunicato rilasciato il 28 Ottobre , Anonymous Italia LulzSec Italia e AntiSec Italia, hanno colpito le prime vittime di quella che viene definit...
TimeHop oltre 21 milioni di account violati L'app di social media di Timehop è stata colpita da una grave violazione dei dati  il 4 luglio che ha compromesso i dati personali dei suoi oltre 21 m...
Hacker di Hamas attaccano gli smartphone nemici Il blog di Check Point Software Technologies ci svela l'ennesima storia di cybersecurity dei nostri giorni. Approfittando della fame di notizie rigua...

Lo staff di Hackerjournal che vi fornisce ogni giorno notizie, recensioni, anteprime e interviste legate alla sicurezza digitale.

Facebook Comment


In Edicola


Dal 14 DICEMBRE 2018!

Forum

Facebook

Collezione HJ

Trending

IN EDICOLA
Copertina Hacker Journal 227