Sennheiser se postaral o fatální chybu likvidující bezpečnost HTTPS komunikací.

Od Rychlofky

Sennheiser se postaral o fatální chybu likvidující bezpečnost HTTPS komunikací. Všude kde jste použili jejich HeadSetup software se vám do systému dostal TLS root certifikát jehož privátní klíč je k dispozici přímo v software od Sennheiseru. Což případným útočníkům umožní generovat HTTPS certifikáty pro jakýkoliv web se jim bude zlíbit. Viz Sennheiser discloses monumental blunder that cripples HTTPS on PCs and Macs a Vulnerability Report – CVE-2018-17612. Pokud jste kdy tohle použili, tak pozor, ten podivný certifikát musíte odstranit.

key-extraction.png