Si utiliza el software HeadSetup y HeadSetup Pro de Sennheiser, es posible que su ordenador corra un grave riesgo de sufrir un ataque. Microsoft ha publicado un aviso bajo el título ADV180029 – Los certificados digitales revelados inadvertidamente podrían permitir la suplantación de identidad.
Averigüemos qué dice Microsoft al respecto y luego veamos qué podemos hacer al respecto.
Índice del contenido
¿Quién encontró la vulnerabilidad?
Y es muy a menudo el caso, la vulnerabilidad real no fue encontrada por Sennheiser ni siquiera por Microsoft. Fue encontrado por Secorvo Security Consulting GmbH. Puede leer el informe completo aquí . Puede consultar los detalles del análisis de CVE-2018-17612 visitando la Base de Datos Nacional de Vulnerabilidad.
¿Qué ha dicho Microsoft?
El 28 de noviembre de 2018 Microsoft publicó este aviso:
Estamos notificando] a los clientes de dos certificados digitales revelados inadvertidamente que podrían utilizarse para falsificar el contenido y para proporcionar una actualización de la Lista de Certificados de Confianza (CTL) a fin de eliminar la confianza en el modo de usuario para los certificados. Los certificados raíz revelados no tenían restricciones y podían utilizarse para emitir certificados adicionales para usos como la firma de código y la autenticación de servidor.
En caso de que quieras estar seguro mientras navegas por Internet, necesitarás una herramienta completa para proteger tu red. < Instala ahora Cyberghost VPN y asegúrate. Protege su PC de los ataques durante la navegación, enmascara su dirección IP y bloquea todo acceso no deseado.
¿Qué significa esto para los usuarios?
Lo que esto significa en un lenguaje que incluso yo puedo entender es que Sennheiser, en un movimiento poco inteligente, decidió que dos de sus productos, HeadSetup y HeadSetup Pro, instalarían certificados sin informar a la persona que realiza la instalación.
Otros dos errores de juicio han agravado la situación:
- El certificado se instaló en la carpeta de instalación del software.
- Se utilizó la misma clave de privacidad para todas las instalaciones de Sennheiser de HeadSetup o anteriores.
El problema es que cualquiera que consiga esa clave de privacidad ahora tiene acceso al sistema informático en el que se ha instalado Sennheiser HeadSetup y HeadSetup Pro.
¿Cuál es la solución? Descargar la revisión
Para ser honesto, estaba a punto de escribir un artículo largo y posiblemente increíblemente aburrido sobre lo que todo esto significa para usted como usuario de Sennheiser. Afortunadamente, la compañía nos ha salvado a ambos de esa prueba potencialmente destructiva para el alma.
Sennheiser acaba de lanzar una actualización que no sólo corrige el problema, sino que también elimina del sistema el certificado original que podría haber causado el problema en primer lugar.
Vaya a la página de Sennheiser HeadSetup Pro , y podrá leer todo sobre el tema.
Envolviendo todo
Como siempre es el caso, asegúrese de mantenerse al día con todas las noticias sobre cualquier software que utilice, y mantenga un oído atento a cualquier problema de vulnerabilidades reportado.
La mejor manera de hacerlo es asegurarse de que usted marca Windows Report, y visitarnos para todas las noticias que pueda necesitar. Además, también escribimos sobre muchas otras cosas interesantes!
POSTS RELACIONADOS QUE QUIERE VERIFICAR:
- Microsoft mata el servicio hotfix, aquí están las alternativas
- 7 mejores herramientas antimalware para Windows 10 para bloquear amenazas en 2019
- 5 mejores programas antivirus para prevenir el software de rescate Petya/GoldenEye