du 28 novembre 2018
Date

Choisir une autre édition

L'histoire de l'adware de Lenovo remonte à début 2015. Il injectait des publicités et installait au passage un certificat racine sur la machine… avec la même clé privée à chaque fois.

Microsoft tire aujourd'hui la sonnette d'alarme à propos des logiciels HeadSetup et HeadSetup Pro de Sennheiser, citant un rapport de Secorvo. Cette brèche de sécurité est identifiée sous la référence CVE-2018-17612.

Les mécanismes sont les mêmes : l'application installe un certificat racine sur la machine, puis « publie la clé privée dans le fichier SennComCCKey.pem ». Un pirate pourrait ainsi s'en servir pour usurper l'identité de n'importe quel site, même si l'application HeadSetup est désinstallée.

Une mise à jour est disponible sur le site de Sennheiser depuis le 9 novembre. Il est évidemment recommandé de l'installer. Le fabricant propose aussi un guide (pour PC et Mac) pour désinstaller le certificat fautif.

Sennheiser : importante faille dans le logiciel HeadSetup (Pro), avec un arrière-goût de Superfish
chargement Chargement des commentaires...