Microsoft Security Advisory ADV180029 (Sennheiser-Problem)

Microsoft hat am 27. November 2018 das Security Advisory ADV180029 (Inadvertently Disclosed Digital Certificates Could Allow Spoofing) veröffentlicht. Das Advisory adressiert ein durch Sennheiser-Software verursachtes Zertifikate-Problem. Hier einige Hinweise zum Thema.


Anzeige

Worum geht es beim Sennheiser-Problem?

Anfang November 2018 wurde bekannt, dass der Kopfhörer-Hersteller Sennheiser eine Software für seine Headsets mitliefert, die die unangenehme Eigenschaft hat, durch ein Root-Zertifikat die Sicherheit von https-Verbindungen auszuhebeln. Aufgedeckt hat das Ganze die Firma secorvo, die diesen PDF-Beitrag zum Thema samt Proof of Concept (PoC) Exploit veröffentlichte. Ich hatte das Ganze im Blog-Beitrag Sennheiser: Software mit Root-Zertifikat bricht https-Sicherheit angesprochen und auch eine Stellungnahme von Sennheiser nachgetragen.

Microsoft Security Advisory ADV180029

Nun reagiert Microsoft mit dem Security Advisory ADV180029 auf diesen Vorfall und veröffentlicht diesen Hinweis, um Kunden über zwei versehentlich veröffentlichte digitale Zertifikate zu informieren. Das Advisory enthält nur folgende Angaben:

– ADV180029 | Inadvertently Disclosed Digital Certificates
   Could Allow Spoofing
ADV180029
– Reason for Revision: Information published.
– Originally posted: November 27, 2018
– Updated: N/A
– Version: 1.0

Mehr Informationen enthält man auf der Seite zu ADV180029. Die freigegebenen Root-Zertifikate waren uneingeschränkt und konnten zur Ausgabe zusätzlicher Zertifikate für Anwendungen wie Code Signing und Server-Authentifizierung verwendet werden. Dies erlaubt, die versehentlich durch Sennheiser freigegeben Zertifikate zum Fälschen von Inhalten zu verwenden.

Microsoft hat ein Update für die Certificate Trust List (CTL) bereitgestellt, welches die beiden Zertifikate aus der Vertrauensliste zu entfernen. Weitere Details finden Sie im Beitrag Certificate Management Vulnerability in Sennheiser HeadSetup und unter CVE-2018-17612.


Anzeige

Dieser Beitrag wurde unter Sicherheit, Windows abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.