TweakPC


Sennheiser-Software untergräbt alle HTTPS-Verbindungen

Freitag, 09. Nov. 2018 09:23 - [ar] - Quelle: secorvo.de

Die Installation der Sennheiser-Software für Headset installiert ein Root-Zertifikat und untergräbt damit die Sicherheit aller HTTPS-Verbindungen des Systems.

Sennheiser-Software untergräbt alle HTTPS-Verbindungen

Die Software zur Verwaltung der Sennheiser-Headsets ist mit einer gravierenden Sicherheitslücke versehen. Wie die Sicherheitsexperten von Secorvo feststellten, wird mit der Software ein Root-Zertifikat installiert, welche lokal einen HTTPS-Server installiert und startet.

Der Dienst dient zur Kommunikation der Software mit Webseiten. Gleichzeitig öffnet das Zertifikat aber alle HTTPS-Verbindungen für die eigenen IP 127.0.0.1 und macht sichere HTTPS-Verbindungen für das Windows-System unmöglich. Selbst bei der Deinstallation der Software wird das Root-Zertifikat nicht gelöscht, womit die Sicherheitslücke bestehen bleibt.

Während der Edge-Browser und Chrome den internen Zertifikatsspeicher von Microsoft verwenden und damit ebenfalls von der Sicherheitslücke betroffen sind, bietet der Firefox-Browser einen eigenen, unabhängigen Zertifikatsspeicher und ist somit nicht betroffen.

Vor allem durch die Hinterlegung des passenden, privaten Schlüsseln und durch das unsichere Root-Zertifikat können Angreifer für jede Webseite ein Man-in-the-Middle-Angriff durchführen. Mit der neuesten Version der Sennheiser Software wird der Private-Schlüssel nicht mehr mit ausgeliefert. Dennoch bleibt ein Restrisiko, da erst Ende November ein Update der Sennheiser-Software die Sicherheitslücke gänzlich entfernen soll.

Sennheiser-Software untergräbt alle HTTPS-Verbindungen

Verwandte Testberichte, News, Kommentare
Forum News


ueber TweakPC: Impressum, Datenschutz Copyright 1999-2018 TweakPC, Alle Rechte vorbehalten, all rights reserved