ゼンハイザー製品のセットアップソフトに脆弱性、PCからログイン情報など漏洩の可能性

ヘッドホンには影響なし

Munenori Taniguchi
Munenori Taniguchi, @mu_taniguchi
2018年11月30日, 午後 05:15 in Security
0シェア
sennheiser
ゼンハイザーが、ヘッドホンやヘッドセット製品のセットアップ用ソフトウェア「HeadSetup」および「HeadSetup Pro」に格納されるルートCA証明書に脆弱性が見つかったと発表しました。

この証明書はPCのプログラムフォルダに暗号化された秘密鍵とともにコピーされ、通信内容、たとえばウェブサイトのログイン情報盗聴や改ざんにつながる中間者攻撃(Man in the middle atack:MITM、バケツリレー攻撃)を許す可能性があります。ゼンハイザーはHeadSetup /HeadSetup Proを削除するだけでは問題は解決しないとアナウンス、問題を修正した新たなセットアップソフトウェアを公開し、ユーザーは速やかにこれをインストールするよう勧めています。最新版のバージョン場号はHeadSetup(Windows版)がv.8.1.6114,HeadSetup(Mac版)がv.5.3.7011,HeadSetup Proはv.2.6.8235。

ただ、ゼンハイザーの日本語サイトではまだソフトウェアの日本語版はリリースされておらず、記事執筆時点では準備中で「2018年11月19日以降にリリースを予定」しているとのこと。ただ、脆弱性を放置するのは危険であるため、証明書を削除するためのバッチファイルを公開しています。また、このダウンロードページでは特定の環境用に、今回の脆弱性を持つ証明書を 信用出来ない証明書用Active Directry (AD) - Group Policy (GP) への移動方法を記したステップバイステップガイドも公開しています。

ゼンハイザーの発表を受けてマイクロソフトもユーザーにCVE-2018-17612として脆弱性に関する警告を出し、この脆弱性によって遠隔からウェブサイトやコンテンツ偽装に悪用される可能性があると告知しています。

ちなみに、この問題はソフトウェアを使用したPCで問題になるだけで、ゼンハイザーの製品には影響しません。したがってたとえばヘッドセットを使用中にその通話内容が外部に漏れたりといったことはないはずです。

TechCrunch 注目記事「新型コロナのソーシャルディスタンス(社会的距離戦略)を強力に支援するビデオチャットアプリ8選

関連キーワード: cyberattack, cybersecurity, gear, ManInTheMiddle, maninthemiddleattack, security, sennheiser
0シェア

Sponsored Contents