Se você estiver usando os softwares Sennheiser HeadSetup e HeadSetup Pro, seu computador poderá estar em risco de ataque. A Microsoft publicou um comunicado sob o nome ADV180029 - Certificados digitais divulgados inadvertidamente podem permitir falsificação.

Vamos descobrir o que a Microsoft diz sobre isso e ver o que podemos fazer sobre isso.

Quem encontrou a vulnerabilidade?

E geralmente é o caso, a vulnerabilidade real não foi encontrada pela Sennheiser ou mesmo pela Microsoft. Foi encontrado pela Secorvo Security Consulting GmbH. Você pode ler o relatório completo aqui. Você pode conferir os detalhes da análise do CVE-2018-17612 visitando o Banco de Dados Nacional de Vulnerabilidades.

O que a Microsoft disse?

Em 28 de novembro de 2018, a Microsoft publicou este comunicado:

clientes de dois certificados digitais divulgados inadvertidamente que poderiam ser usados ​​para falsificar conteúdo e fornecer uma atualização para a Lista de Confiança de Certificados (CTL) para remover a confiança no modo de usuário dos certificados. Os certificados raiz divulgados eram irrestritos e podiam ser usados ​​para emitir certificados adicionais para usos como assinatura de código e autenticação de servidor.

• Leia também: Site de download do VLC marcado como malware pela Microsoft

O que isso significa para os usuários?

O que isso significa em uma linguagem que até eu entendo é que a Sennheiser, em uma atitude não muito inteligente, decidiu que dois de seus produtos, HeadSetup e HeadSetup Pro, instalariam certificados sem informar a pessoa que fez a instalação.

Dois outros erros de julgamento agravaram a situação:

1. O certificado foi instalado na pasta de instalação do software.
2. A mesma chave de privacidade foi usada para todas as instalações Sennheiser do HeadSetup ou mais antigas.

O problema é que qualquer pessoa que se apossar dessa chave de privacidade agora tem acesso ao sistema de computador Sennheiser HeadSetup e HeadSetup Pro instalado.

Qual é a solução? Baixe o hotfix

Para ser sincero, eu estava prestes a escrever um longo e possivelmente incrivelmente chato artigo sobre o que tudo isso significa para você como usuário da Sennheiser. Felizmente, a empresa nos salvou dessa provação potencialmente destruidora de almas.

A Sennheiser acaba de lançar uma atualização que não apenas corrige o problema, mas também elimina os sistemas do certificado original que poderiam ter causado o problema em primeiro lugar.

Vá para a página HeadSetup Pro da Sennheiser e poderá ler tudo sobre ela.

Envolvendo tudo

Como sempre, certifique-se de manter-se atualizado com todas as notícias sobre qualquer software usado e mantenha-se atento a qualquer problema de vulnerabilidade relatado.

A melhor maneira de fazer isso é marcar o Windows Report como favorito e nos visitar para obter todas as notícias que você pode precisar. Além disso, escrevemos sobre muitas outras coisas legais também!