В двух приложениях – HeadSetup, а также HeadSetup Pro, выпущенных разработчиками Sennheiser, из-за критической уязвимости, обнаруженной в корневых сертификатах, злоумышленники могли, благодаря получению доступа к приватным ключам, выпускать поддельные сертификаты. Такие данные предоставило издание Ars Technica, ссылаясь на экспертов Secorovo, которые определили опасную уязвимость не только для macOS, но и для устройств, работающих под управлением Windows.
Критическая уязвимость HeadSetup, связана с самозаверяющим корневым сертификатом, хранящим закрытые ключи безопасности в формате, который легко извлечь из SennComCCKey.pem. Поскольку фактически ключ был идентичен для всех установок ПО, хакерам было несложно использовать поддельные сертификаты для своих целей.
Что предпринять?
Опасность состоит в том, что любая система с приложением HeadSetup будет подтверждать надежность сертификата до 2027 года. Поэтому у пользователей не так много выбора: или дождаться окончания срока действия сертификата, либо использовать обновление, устраняющее данную уязвимость.
Разработчики компании Sennheiser намерены создать патч в кратчайшие сроки для устранения проблемы, и в течение недели выпустить обновление, которое автоматически удалит корневые сертификаты с затронутых устройств и будет внедрять новые, гарантирующие высокую степень безопасности. [Источник]
