Microsoft weist in einem Security Advisory auf zwei Anwendungen hin, die versehentlich zwei Root-Zertifikate installiert und anschließend die zugehörigen privaten Schlüssel verloren haben. Der Fehler der Entwickler der beiden Apps hat zur Folge, dass Dritte nun die privaten Schlüssel der beiden Anwendungen extrahieren und eigene gefälschte Zertifikate installieren können. Diese wiederum können benutzt werden, um gefälschte Websites oder auch Software als legitim auszugeben.
Entdeckt wurde der Fehler vom deutschen Cybersicherheitsanbieter Secorvo. Ihm zufolge installierten die Version 7.3, 7.4 und 8.0 der beiden Anwendungen zwei Root-CA-Zertifikate als vertrauenswürdige Root-Zertifikate auf Windows-Systemen. Zudem enthielt die Datei „SennComCCKey.pem“ die privaten Schlüssel.
Mit gestern veröffentlichtem Beispielcode zeigten die Sicherheitsforscher zudem, wie Angreifer mit sehr geringem Aufwand die Installationsdateien beider Anwendungen analysieren und die privaten Schlüssel entnehmen können.
Sennheiser hat das Problem inzwischen eingeräumt. „Aufgrund der Sicherheitslücke, die am 9. November in Sennheiser Headsetup und Headsetup Pro festgestellt wurde, wurden neue Versionen aller Software Varianten zum Download verfügbar gemacht.
Durch das Aktualisieren der Software auf die neueste Version werden die betreffenden Zertifikate entfernt. Ab dem 23. November lauten die neuesten Softwareversionen wie folgt: Headsetup Pro Version 2.6.8235; Headsetup: Version 8.0.6114 (für PC) und Version 5.3.7011 (für Mac)“, heißt es auf der Sennheiser-Website.
Secorvo zufolge ist ein Update der beiden Anwendungen oder auch deren Installation nicht ausreichend, um das Problem zu lösen. „Bei der Entfernung (Deinstallation) der Headsetup-Software wird der komplette Headsetup-Installationsordner – einschließlich Zertifikat und Schlüsseldateien – gelöscht. In keinem der beiden Fälle wird jedoch eines der CA-Zertifikate, die während des Installations- oder Aktualisierungsprozesses dem vertrauenswürdigen Root Store des lokalen Computers hinzugefügt wurden, entfernt“, warnt das Unternehmen. Eine Anleitung zur manuellen Löschung der Zertifikate hält Secorvo in seinem Untersuchungsbericht (PDF) bereit.
Microsoft hat als Reaktion ein Update für Certificate Trust List veröffentlicht. Es entzieht den fraglichen Sennheiser-Zertifikaten das Vertrauen.
Erfahren Sie in diesem Whitepaper von Konica Minolta, wie sich durch die Nutzung innovativer Technologien neue Geschäftschancen generieren lassen. Jetzt herunterladen!
Check Point warnt vor offener Schwachstelle, die derzeit von Hackern für Phishing ausgenutzt wird.
Video-Babyphones sind ebenfalls betroffen. Cyberkriminelle nehmen vermehrt IoT-Hardware ins Visier.
Der Downloader hat hierzulande im April einen Anteil von 18,58 Prozent. Im Bereich Ransomware ist…
Unternehmen greifen von überall aus auf die Cloud und Applikationen zu. Dementsprechend reicht das Burg-Prinzip…
Hacker nutzen eine jetzt gepatchte Schwachstelle im Google-Browser bereits aktiv aus. Die neue Chrome-Version stopft…
Microsoft bietet seit Anfang der Woche einen Patch für die Lücke. Kaspersky-Forscher gehen davon aus,…