Si está utilizando el software Sennheiser HeadSetup y HeadSetup Pro, entonces su computadora puede estar en grave riesgo de ataque. Microsoft ha publicado un aviso bajo el nombre ADV180029: los certificados digitales divulgados inadvertidamente podrían permitir la suplantación de identidad.

Veamos qué dice Microsoft al respecto y luego veamos qué podemos hacer al respecto.

¿Quién encontró la vulnerabilidad?

Y a menudo es el caso, la vulnerabilidad real no fue encontrada por Sennheiser ni por Microsoft. Fue encontrado por Secorvo Security Consulting GmbH. Puedes leer el informe completo aquí. Puede consultar los detalles del análisis de CVE-2018-17612 visitando la Base de datos nacional de vulnerabilidad.

¿Qué ha dicho Microsoft?

El 28 de noviembre de 2018, Microsoft publicó este aviso:

clientes de dos certificados digitales divulgados inadvertidamente que podrían utilizarse para falsificar contenido y proporcionar una actualización de la Lista de confianza de certificados (CTL) para eliminar la confianza en modo de usuario para los certificados. Los certificados raíz divulgados no tenían restricciones y podían usarse para emitir certificados adicionales para usos como la firma de código y la autenticación del servidor.

• LEA TAMBIÉN: sitio de descarga VLC marcado como malware por Microsoft

¿Qué significa esto para los usuarios?

Lo que esto significa en un lenguaje que incluso yo puedo entender es que Sennheiser, en un movimiento no muy inteligente, decidió que dos de sus productos, HeadSetup y HeadSetup Pro, instalarían certificados sin informar a la persona que realiza la instalación.

Otros dos errores de juicio han agravado la situación:

1. El certificado se instaló en la carpeta de instalación del software.
2. Se usó la misma clave de privacidad para todas las instalaciones de Sennheiser de HeadSetup o anteriores.

El problema es que cualquier persona que obtenga esa clave de privacidad ahora tiene acceso al sistema informático Sennheiser HeadSetup y HeadSetup Pro ha sido instalado.

¿Cuál es la solución? Descargar la revisión

Para ser honesto, estaba a punto de escribir un artículo largo, y posiblemente increíblemente aburrido, sobre lo que todo esto significa para usted como usuario de Sennheiser. Afortunadamente, la compañía nos ha salvado a ambos de esa terrible experiencia potencialmente destructora de almas.

Sennheiser acaba de lanzar una actualización que no solo soluciona el problema, sino que también elimina los sistemas del certificado original que podría haber causado el problema en primer lugar.

Dirígete a la página HeadSetup Pro de Sennheiser y podrás leer todo al respecto.

Envolviendo todo

Como siempre es el caso, asegúrese de mantenerse al día con todas las noticias sobre cualquier software que use, y esté atento a cualquier problema de vulnerabilidad reportado.

La mejor manera de hacerlo es asegurarte de marcar el Informe de Windows y visitarnos para recibir todas las noticias que puedas necesitar. Además, ¡también escribimos sobre muchas otras cosas interesantes!