L'histoire de l'adware de Lenovo remonte à début 2015. Il injectait des publicités et installait au passage un certificat racine sur la machine… avec la même clé privée à chaque fois.
Microsoft tire aujourd'hui la sonnette d'alarme à propos des logiciels HeadSetup et HeadSetup Pro de Sennheiser, citant un rapport de Secorvo. Cette brèche de sécurité est identifiée sous la référence CVE-2018-17612.
Les mécanismes sont les mêmes : l'application installe un certificat racine sur la machine, puis « publie la clé privée dans le fichier SennComCCKey.pem ». Un pirate pourrait ainsi s'en servir pour usurper l'identité de n'importe quel site, même si l'application HeadSetup est désinstallée.
Une mise à jour est disponible sur le site de Sennheiser depuis le 9 novembre. Il est évidemment recommandé de l'installer. Le fabricant propose aussi un guide (pour PC et Mac) pour désinstaller le certificat fautif.
