Game on Game RTX

Sennheisers Headset-Software umfasst Root-Zertifikat mitsamt privatem Schlüssel

Meldung von doelf, Samstag der 10.11.2018, 17:10:49 Uhr

Die Sicherheitsexperten der "Secorvo Security Consulting GmbH" haben bei einer Inspektion des Zertifikatsspeichers ihrer Rechner zwei Root-Zertifikate gefunden, welche von HeadSetup, einer Software des Kopfhörerherstellers Sennheiser, installiert wurden. Dummerweise liefert Sennheiser den privaten Schlüssel für eines der Root-Zertifikate gleich mit und öffnet dadurch eine Sicherheitslücke.

Die Sicherheitslücke (CVE-2018-17612) und ihre Möglichkeiten
Angreifer können mit Hilfe des Root-Zertifikates und des nun nicht mehr geheimen Schlüssels gültige Zertifikate erstellen und signieren. Windows und der Webbrowser vertrauen diesen Zertifikaten und lassen den Benutzer ins offene Messer laufen. Beispielsweise ist es möglich, ein gültiges Zertifikat für fremde Domains wie *.google.com auszustellen und den Datenverkehr über die scheinbar sichere HTTPS-Verbindung abzufangen. Alternativ lassen sich auch Zertifikate zum Signieren von Software ausstellen, so dass ein Schadprogramm den Anschein erweckt, von Microsoft oder anderen bekannten Firmen zu stammen. Bei der Installation von HeadSetup, welche als Administrator geschehen muss, weist Sennheiser nicht auf das Hinzufügen von Root-Zertifikaten hin. Das topt nur noch die Deinstallation, welche die gefährlichen Zertifikate auf dem Rechner belässt. Mit einer CVSS Base Score von 7,5 ist dieser Schwachstelle als kritisch anzusehen.

Software-Pfusch soll Ende des Monats behoben werden
Laut Sennheiser werden die Root-Zertifikate benötigt, um Softphone-Lösungen (Telefon-Software) im Webbrowser über das Headset zu unterstützen. Dazu wird lokal ein WSS (WebSocket Secure) geöffnet und eine HTTPS-Verbindung aufgebaut. Und damit es dabei nicht zu einem unerlaubten Cross-Origin Resource Sharing (CORS) kommt, wird frechweg ein TLS-Serverzertifikat für das lokale System (localhost, also die IP-Adresse 127.0.0.1) ausgestellt. Sennheisers Vorgehen ist höchst unkonventionell und gefährlich, schließlich sind TLS-Zertifikate für reservierte IP-Adressen wie 127.0.0.1 aus gutem Grund nicht vorgesehen. Sennheiser wurde am 23. Juli 2018 über die Sicherheitslücke informiert, kann bisher aber noch keine abgesicherte Version von HeadSetup anbieten. Die Bereitstellung eines Updates sei für die 48. Kalenderwoche, also zwischen dem 26. November und dem 2. Dezember 2018, geplant. Das ist etwas spät, denn die Katze ist ja schon aus dem Sack.

Diese Werbefläche wurde deaktiviert. Damit geht Au-Ja.de eine wichtige Einnahmequelle verloren.

Werbung erlauben ]