מיקרוסופט (Microsoft) שיחררה אתמול (ג' 27.11) הודעה אבטחה המודיעה כי שתי תוכנות שהותקנו על מחשבי משתמשים עשויות לפגוע באבטחת מחשבים מבוססי חלונות 10. על פי ההודעה, שתי האפליקציות התקינו ככל הנראה בטעות תעודות אבטחה שכוללות בתוכן גם את מפתחות החתימה שלהן.
שתי התוכנות המדוברות הן מבית חברת התוכנה הגרמנית סנהייזר (Sennheiser) והן Sennheiser HeadSetup ו-HeadSetup Pro. כאמור, אותן תוכנות מדוברות התקינו תעודות אבטחה שכללו את מפתחות החתימה שלהן. משמעות הדבר היא שתוכנות צד שלישי עשויות לבצע שימוש לרעה באותם מפתחות, ולהטות תקשורת מול אתרים ומפתחים באמצעות ייצור תעודות אבטחה מזויפות בשם החברה הגרמנית.
איום האבטחה נחשף בעקבות דוח שפרסמה חברת האבטחה סקורבו (Secorvo) בו היא מתארת את הפרצה לפרטי פרטים. על פי הדוח, נראה כי התגלית ראתה אור עוד בחודש יולי 2018, שם איתרה החברה כי אותן תוכנות התקינו לראשונה את התעודות הפגיעות, הכוללות את מפתח ההצפנה בשם SennComCCKey.pem.
בהמשך הדוח פירטה החברה איך ניתן לנצל את פגיעות התעודות ולנצל אותן. עוד מפרטת החברה כי נראה שאותן תעודות חשופות הותקנו גם במחשבים מבוססי מערכת macOS וממליצה גם למשתמשים האלה לבצע בדיקה ידנית של התעודות כדי הן אינן חשופות לפריצה.
בפוסט ששיחררה סנהייזר, מודה החברה כי בעקבות פוטנציאל לבעיית אבטחה, שתי התוכנות המדוברות כרגע אינן זמינות להורדה דרך האתר. החברה אף מספקת מדריך מפורט שיראה לכל אותם משתמשים איך להסיר את האיום עד לתיקון הבעיה. החברה עובדת על תיקון שצפוי להשתחרר בהמשך השבוע.
בנתיים, מיקרוסופט מצידה עדכנה את רשימת החתימות הבטוחות שלה וחסמה כל תקשורת שכוללת הזדהות עם אותן תעודות. עוד ממליצה החברה לבצע עדכון עבור שתי התוכנות של סנהייזר, כשזה יהיה זמין עבורם.
אתם משתמשים באפליקציות המדוברות? שתפו אותנו בתגובות על כל פעילות חשודה שהרגשתם
Loading ...