L'histoire de l'adware de Lenovo remonte à début 2015. Il injectait des publicités et installait au passage un certificat racine sur la machine… avec la même clé privée à chaque fois.
Microsoft tire aujourd'hui la sonnette d'alarme à propos des logiciels HeadSetup et HeadSetup Pro de Sennheiser, citant un rapport de Secorvo. Cette brèche de sécurité est identifiée sous la référence CVE-2018-17612.
Les mécanismes sont les mêmes : l'application installe un certificat racine sur la machine, puis « publie la clé privée dans le fichier SennComCCKey.pem ». Un pirate pourrait ainsi s'en servir pour usurper l'identité de n'importe quel site, même si l'application HeadSetup est désinstallée.
Une mise à jour est disponible sur le site de Sennheiser depuis le 9 novembre. Il est évidemment recommandé de l'installer. Le fabricant propose aussi un guide (pour PC et Mac) pour désinstaller le certificat fautif.
Commentaires (6)
#1
Mais comment c’est possible de faire des trucs aussi cons ?
#2
Bah comme d’habitude : le stagiaire …
#3
#4
Bah comme d’habitude… Aller au plus vite et au moins cher sachant que lorsqu’il y aura un exploit dans la nature, les utilisateurs hurleront (et les journaux titreront) que c’est la faute aux imbéciles incompétents qui ont développé Windows / OS X / Linux / IOS / Android selon les cas (*)
Tant que les entreprises réellement responsables de ces conneries ne seront pas lourdement sanctionnées, ça continuera.
(*) Oui, je n’ai pas cité GNU Hurd. Je parie que l’unique utilisateur (RMS) n’a pas de casque Sennheiser (c’est un casque fermé, vous vous rendez compte ???) chez lui.
#5
Dommage que l’image d’illustration soit un casque AKG
" />
#6