Si vous utilisez les logiciels Sennheiser HeadSetup et HeadSetup Pro, votre ordinateur peut être exposé à un risque sérieux d’attaque. Microsoft a publié un avis sous le pseudo ADV180029 - Des certificats numériques divulgués par inadvertance pourraient permettre la falsification.

Voyons ce que Microsoft en dit et voyons ce que nous pouvons faire à ce sujet.

Qui a trouvé la vulnérabilité?

Et c’est souvent le cas, ni Sennheiser, ni même Microsoft, n’ont trouvé la vulnérabilité. Il a été trouvé par Secorvo Security Consulting GmbH. Vous pouvez lire le rapport complet ici. Vous pouvez consulter les détails de l'analyse de CVE-2018-17612 en visitant la base de données nationale sur les vulnérabilités.

Qu'est-ce que Microsoft a dit?

Le 28 novembre 2018, Microsoft a publié cet avis:

les clients de deux certificats numériques divulgués par inadvertance qui pourraient être utilisés pour usurper du contenu et fournir une mise à jour de la liste de confiance des certificats (CTL) afin de supprimer la confiance en mode utilisateur des certificats. Les certificats racine divulgués étaient illimités et pouvaient être utilisés pour émettre des certificats supplémentaires à des fins d'utilisation telles que la signature de code et l'authentification de serveur.

• LIRE AUSSI: Le site de téléchargement de VLC désigné comme malware par Microsoft

Qu'est-ce que cela signifie pour les utilisateurs?

Dans un langage que même moi-même je comprends, cela signifie que Sennheiser, dans un geste peu intelligent, a décidé que deux de ses produits, HeadSetup et HeadSetup Pro, installeraient des certificats sans en informer la personne effectuant l’installation.

Deux autres erreurs de jugement ont aggravé la situation:

1. Le certificat a été installé dans le dossier d'installation du logiciel.
2. La même clé de confidentialité a été utilisée pour toutes les installations Sennheiser de HeadSetup ou antérieures.

Le problème est que quiconque obtient cette clé de confidentialité a maintenant accès au système informatique sur lequel Sennheiser HeadSetup et HeadSetup Pro ont été installés.

Quelle est la solution? Téléchargez le correctif

Pour être honnête, j’étais sur le point d’écrire un article long et peut-être incroyablement ennuyant sur ce que tout cela signifie pour vous en tant qu’utilisateur Sennheiser. Heureusement, la société nous a sauvés tous les deux de cette épreuve potentiellement destructrice d'âme.

Sennheiser vient de publier une mise à jour qui non seulement résout le problème, mais récupère également les systèmes du certificat original qui aurait pu provoquer le problème.

Rendez-vous sur la page HeadSetup Pro de Sennheiser pour en savoir plus.

Envelopper le tout

Comme toujours, assurez-vous de rester au courant de toutes les nouvelles concernant les logiciels que vous utilisez et restez à l’écoute des problèmes de vulnérabilités signalés.

La meilleure façon de le faire est de vous assurer de placer un signet dans Windows Report et de nous rendre visite pour connaître toutes les nouvelles dont vous pourriez avoir besoin. De plus, nous écrivons sur beaucoup d'autres choses intéressantes aussi!