德國耳機業者誤將憑證置入軟體,陷用戶於安全風險

德國耳機業者誤將憑證置入軟體,陷用戶於安全風險 這個為高階耳機而打造的軟體,卻將加密私鑰直接放在軟體中,有心人士很容易就可以取得來發動中間人攻擊 文/陳曉莉 | 2018-11-30發表 微軟於本周發表一安全通報,指稱在Windows平台上安裝德國耳機業者Sennheiser所開發的HeadSetup及HeadSetup Pro軟體的使用者可能會遭受中間人(man-in-the-middle,MITM)攻擊,呼籲用戶儘速更新這兩項軟體,同時微軟也作出了因應。HeadSetup及HeadSetup Pro都是Sennheiser替高階耳機所打造的軟體,當使用者於Windows上安裝了任一款軟體時,它同時會將Sennheiser的CA憑證存放在Windows的Trusted Root CA Certificate  Store中。發現該漏洞的德國資安業者Secorvo說明,他們進一步追查後發現這兩個軟體需要透過CA憑證與Sennheiser的伺服器交流,因此也在軟體中發現了該憑證的加密私鑰,並判斷解密程式應該也存放在軟體的檔案中,亦成功找到了解密程式。假如資安業者很輕易就能在系統及軟體上找到憑證與金鑰,代表這對駭客來說亦不難。由於不管在任何電腦上所安裝HeadSetup或HeadSetup Pro都使用同樣的憑證與金鑰,再加上就算移除了這兩個程式,它們的憑證依然會存在於Windows中的Trusted Root CA Certificate  Store。駭客竊取了憑證之後,即能假冒Secorvo的身分執行各種中間人攻擊,例如傳送偽造的軟體更新,或者寄出網釣郵件,或者是設計可竊取使用者機密資訊的網頁。Secorvo已在本月更新了上述兩個軟體以修補此一編號為CVE-2018-17612的安全漏洞,微軟亦於Windows的可靠憑證列表(Certificate Trust List)上移除了這兩個軟體先前所使用的憑證。

更多訊息更多資料都在這裡喔!~SEO~關鍵字排名~GOOGLE排名~蜂王乳~網站排名~台灣綠蜂膠~智勝王~神經滋養物質~蜂王漿~保健食品~超視王~健康食品~葉黃素~維力康~芙婷寶~磷蝦油~PPLS~南極冰洋磷蝦油

發表迴響

你的電子郵件位址並不會被公開。 必要欄位標記為 *