Microsoft hat am 27. November 2018 das Security Advisory ADV180029 (Inadvertently Disclosed Digital Certificates Could Allow Spoofing) veröffentlicht. Das Advisory adressiert ein durch Sennheiser-Software verursachtes Zertifikate-Problem. Hier einige Hinweise zum Thema.
Anzeige
Worum geht es beim Sennheiser-Problem?
Anfang November 2018 wurde bekannt, dass der Kopfhörer-Hersteller Sennheiser eine Software für seine Headsets mitliefert, die die unangenehme Eigenschaft hat, durch ein Root-Zertifikat die Sicherheit von https-Verbindungen auszuhebeln. Aufgedeckt hat das Ganze die Firma secorvo, die diesen PDF-Beitrag zum Thema samt Proof of Concept (PoC) Exploit veröffentlichte. Ich hatte das Ganze im Blog-Beitrag Sennheiser: Software mit Root-Zertifikat bricht https-Sicherheit angesprochen und auch eine Stellungnahme von Sennheiser nachgetragen.
Microsoft Security Advisory ADV180029
Nun reagiert Microsoft mit dem Security Advisory ADV180029 auf diesen Vorfall und veröffentlicht diesen Hinweis, um Kunden über zwei versehentlich veröffentlichte digitale Zertifikate zu informieren. Das Advisory enthält nur folgende Angaben:
– ADV180029 | Inadvertently Disclosed Digital Certificates
Could Allow Spoofing
– ADV180029
– Reason for Revision: Information published.
– Originally posted: November 27, 2018
– Updated: N/A
– Version: 1.0
Mehr Informationen enthält man auf der Seite zu ADV180029. Die freigegebenen Root-Zertifikate waren uneingeschränkt und konnten zur Ausgabe zusätzlicher Zertifikate für Anwendungen wie Code Signing und Server-Authentifizierung verwendet werden. Dies erlaubt, die versehentlich durch Sennheiser freigegeben Zertifikate zum Fälschen von Inhalten zu verwenden.
Microsoft hat ein Update für die Certificate Trust List (CTL) bereitgestellt, welches die beiden Zertifikate aus der Vertrauensliste zu entfernen. Weitere Details finden Sie im Beitrag Certificate Management Vulnerability in Sennheiser HeadSetup und unter CVE-2018-17612.
2015
