Connexion
Abonnez-vous

Sennheiser : importante faille dans le logiciel HeadSetup (Pro), avec un arrière-goût de Superfish

Sennheiser : importante faille dans le logiciel HeadSetup (Pro), avec un arrière-goût de Superfish

Le 28 novembre 2018 à 09h31

L'histoire de l'adware de Lenovo remonte à début 2015. Il injectait des publicités et installait au passage un certificat racine sur la machine… avec la même clé privée à chaque fois.

Microsoft tire aujourd'hui la sonnette d'alarme à propos des logiciels HeadSetup et HeadSetup Pro de Sennheiser, citant un rapport de Secorvo. Cette brèche de sécurité est identifiée sous la référence CVE-2018-17612.

Les mécanismes sont les mêmes : l'application installe un certificat racine sur la machine, puis « publie la clé privée dans le fichier SennComCCKey.pem ». Un pirate pourrait ainsi s'en servir pour usurper l'identité de n'importe quel site, même si l'application HeadSetup est désinstallée.

Une mise à jour est disponible sur le site de Sennheiser depuis le 9 novembre. Il est évidemment recommandé de l'installer. Le fabricant propose aussi un guide (pour PC et Mac) pour désinstaller le certificat fautif.

Le 28 novembre 2018 à 09h31

Commentaires (6)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Mais comment c’est possible de faire des trucs aussi cons ?

votre avatar

Bah comme d’habitude : le stagiaire …

votre avatar







Sparklyon a écrit :



Bah comme d’habitude : le stagiaire …







Bah, je sais pas… il a toujours bon dos le stagiaire. Y’a toujours un moment ou un “senior” lui a confié le job et est censé l’avoir controlé. Et lui aussi est responsable de la situation.

Idem pour le prestataire indien ou de je-sais-pas-ou.


votre avatar

Bah comme d’habitude… Aller au plus vite et au moins cher sachant que lorsqu’il y aura un exploit dans la nature, les utilisateurs hurleront (et les journaux titreront) que c’est la faute aux imbéciles incompétents qui ont développé Windows / OS X / Linux / IOS / Android selon les cas (*)



Tant que les entreprises réellement responsables de ces conneries ne seront pas lourdement sanctionnées, ça continuera.



(*) Oui, je n’ai pas cité GNU Hurd. Je parie que l’unique utilisateur (RMS) n’a pas de casque Sennheiser (c’est un casque fermé, vous vous rendez compte ???) chez lui.

votre avatar

Dommage que l’image d’illustration soit un casque AKG <img data-src=" />

votre avatar







Sparklyon a écrit :



Bah comme d’habitude : le stagiaire …









KP2 a écrit :



Bah, je sais pas… il a toujours bon dos le stagiaire. Y’a toujours un moment ou un “senior” lui a confié le job et est censé l’avoir controlé. Et lui aussi est responsable de la situation.

Idem pour le prestataire indien ou de je-sais-pas-ou.





Yep, même question.

Peu importe que ce soit le stagiaire, un dev senior ou une boite de dev offshore. Quand une solution comme celle là est capable d’être poussée en production, c’est toute l’organisation de l’entreprise/pôle qui est à repenser.



Au doigt mouillé, je dirai que c’est une entreprise qui n’a aucune culture du logiciel, dont ce n’est pas le cœur de métier, qui a fait externaliser sa “solution digitale du turfu” sans avoir un/des experts internes pour superviser le boulot livré (ça coute cher m’voyez ?)


Sennheiser : importante faille dans le logiciel HeadSetup (Pro), avec un arrière-goût de Superfish

Fermer