Sponsored Contents

Securityの最新記事

Image credit:
Save

ゼンハイザー製品のセットアップソフトに脆弱性、PCからログイン情報など漏洩の可能性

ヘッドホンには影響なし

Munenori Taniguchi, @mu_taniguchi
2018年11月30日, 午後05:15 in Security
49シェア
4
45,"likes":10
0

連載

注目記事

折り畳めてとっても軽い!1万2000円の小型ジンバル「VLOG Pocket」はYouTuber入門におすすめ(小彩 楓)

折り畳めてとっても軽い!1万2000円の小型ジンバル「VLOG Pocket」はYouTuber入門におすすめ(小彩 楓)

小彩 楓, 11月17日
View
世界初の完全分離骨伝導イヤホン「earsopen PEACE」でネクストレベルの「ながら聴き」を体感

世界初の完全分離骨伝導イヤホン「earsopen PEACE」でネクストレベルの「ながら聴き」を体感

View
ゼンハイザーが、ヘッドホンやヘッドセット製品のセットアップ用ソフトウェア「HeadSetup」および「HeadSetup Pro」に格納されるルートCA証明書に脆弱性が見つかったと発表しました。

この証明書はPCのプログラムフォルダに暗号化された秘密鍵とともにコピーされ、通信内容、たとえばウェブサイトのログイン情報盗聴や改ざんにつながる中間者攻撃(Man in the middle atack:MITM、バケツリレー攻撃)を許す可能性があります。

ゼンハイザーはHeadSetup /HeadSetup Proを削除するだけでは問題は解決しないとアナウンス、問題を修正した新たなセットアップソフトウェアを公開し、ユーザーは速やかにこれをインストールするよう勧めています。最新版のバージョン場号はHeadSetup(Windows版)がv.8.1.6114,HeadSetup(Mac版)がv.5.3.7011,HeadSetup Proはv.2.6.8235。

ただ、ゼンハイザーの日本語サイトではまだソフトウェアの日本語版はリリースされておらず、記事執筆時点では準備中で「2018年11月19日以降にリリースを予定」しているとのこと。ただ、脆弱性を放置するのは危険であるため、証明書を削除するためのバッチファイルを公開しています。また、このダウンロードページでは特定の環境用に、今回の脆弱性を持つ証明書を 信用出来ない証明書用Active Directry (AD) - Group Policy (GP) への移動方法を記したステップバイステップガイドも公開しています。

ゼンハイザーの発表を受けてマイクロソフトもユーザーにCVE-2018-17612として脆弱性に関する警告を出し、この脆弱性によって遠隔からウェブサイトやコンテンツ偽装に悪用される可能性があると告知しています。

ちなみに、この問題はソフトウェアを使用したPCで問題になるだけで、ゼンハイザーの製品には影響しません。したがってたとえばヘッドセットを使用中にその通話内容が外部に漏れたりといったことはないはずです。



広告掲載についてのお問い合わせはad-sales@oath.com までお知らせください。各種データなどはこちらのメディアガイドをあわせてご覧ください。

49シェア
4
45,"likes":10
0

Sponsored Contents