Приложения HeadSetup и HeadSetup Pro устанавливали корневые сертификаты, позволяющие с легкостью извлечь закрытые ключи.
Компания Sennheiser ошибочно поставила в составе приложений HeadSetup и HeadSetup Pro два корневых сертификата вместе с закрытыми ключами, к которым злоумышленники могли легко получить доступ и использовать их для подделки сертификатов, официальных сайтов и т. д. ПО HeadSetup и HeadSetup Pro представляет собой так называемые «софтфоны» — приложения для совершения звонков через интернет или с компьютера без необходимости использования физических телефонов.
На проблему обратили внимание специалисты компании Secorvo, обнаружившие, что версии HeadSetup 7.3, 7.4 и 8.0 устанавливают два корневых сертификата в хранилище доверенных корневых сертификатов Windows, а также сохраняют закрытые ключи в файле SennComCCKey.pem. Уязвимость получила идентификатор CVE-2018-17612.
Более того, версия HeadSetup для macOS также устанавливает сертификаты, причем избавиться от них, установив обновление или полностью удалив ПО, пока невозможно. Как отмечают исследователи, любая система, на которой были установлены приложения HeadSetup, остается уязвимой до тех пор, пока пользователь не удалит сертификаты из хранилища, либо срок их действия не истечет (13 января 2027 года или 27 июля 2037 года).
Компания Sennheiser признала наличие проблемы и изъяла приложения с своего сайта. Сейчас разработчики готовят обновление, которое, по их словам, удалит корневые сертификаты и установит новые, не допускающие утечку закрытых ключей.
Специалисты Microsoft опубликовали собственное предупреждение, а также обновили внутренний список доверенных сертификатов (Certificate Trust List, CTL), исключив из него вышеуказанные.
Пользователи, которые не хотят ждать выхода обновления от Sennheiser, могут вручную удалить сертификаты из хранилища с помощью инструкций в отчете Secorvo (раздел 7.2). Sennheiser также опубликовала руководство по удалению сертификатов с Windows-компьютеров и систем на базе macOS .
