APP下载

德国耳机业者误将凭证置入软件,陷用户于安全风险

消息来源:baojiabao.com 作者: 发布时间:2024-03-29

报价宝综合消息德国耳机业者误将凭证置入软件,陷用户于安全风险

微软于本周发表一安全通报,指称在Windows平台上安装德国耳机业者Sennheiser所开发的HeadSetup及HeadSetup Pro软件的使用者可能会遭受中间人(man-in-the-middle,MITM)攻击,呼吁用户尽速更新这两项软件,同时微软也作出了因应。

HeadSetup及HeadSetup Pro都是Sennheiser替高阶耳机所打造的软件,当使用者于Windows上安装了任一款软件时,它同时会将Sennheiser的CA凭证存放在Windows的Trusted Root CA Certificate  Store中。

发现该漏洞的德国资安业者Secorvo说明,他们进一步追查后发现这两个软件需要透过CA凭证与Sennheiser的服务器交流,因此也在软件中发现了该凭证的加密私钥,并判断解密程式应该也存放在软件的档案中,亦成功找到了解密程式。

假如资安业者很轻易就能在系统及软件上找到凭证与金钥,代表这对骇客来说亦不难。

由于不管在任何电脑上所安装HeadSetup或HeadSetup Pro都使用同样的凭证与金钥,再加上就算移除了这两个程式,它们的凭证依然会存在于Windows中的Trusted Root CA Certificate  Store。

骇客窃取了凭证之后,即能假冒Secorvo的身份执行各种中间人攻击,例如传送伪造的软件更新,或者寄出网钓邮件,或者是设计可窃取使用者机密资讯的网页。

Secorvo已在本月更新了上述两个软件以修补此一编号为CVE-2018-17612的安全漏洞,微软亦于Windows的可靠凭证列表(Certificate Trust List)上移除了这两个软件先前所使用的凭证。

2018-11-30 19:34:00

相关文章