SE TRATA DE HEADSETUP Y HEADSETUP PRO DE SENNHEISER
Microsoft advierte que estas dos aplicaciones pueden filtrar claves privadas
La compañía de Redmond avisa de que las apps HeadSetup y HeadSetup Pro de la compañía alemana Sennheiser pueden ser utilizadas por terceros para obtener claves privadas.
Publicidad
Microsoft ha publicado un aviso de seguridad en el que advierte a los usuarios que las aplicaciones HeadSetup y HeadSetup Pro para Windows y Mac, dos programas desarrollados por la compañía alemana Sennheiser, pueden ser empleadas por terceros maliciosos para obtener las claves privadas.
HeadSetup y HeadSetup Pro son dos aplicaciones de Sennheiser , el conocido fabricante alemán especializado en auriculares, micrófonos y accesorios telefónicos, que se utilizan para sincronizarse con sus cascos y hacer llamadas en el ordenador a través de Internet sin necesidad de un teléfono físico. Por sí mismos, estos dos programas no resultan peligrosos, pero un ciberdelincuente puede utilizarlas para extraer las claves privadas de sus certificados raíz y perpetrar un ataque para robar información de la víctima.
El problema se debe a que estas dos aplicaciones instalan dos certificados raíz en los ordenadores de los usuarios que pueden filtrar las claves privadas a terceros. Como consecuencia, un atacante puede aprovechar las claves privadas de estos certificados raíz para falsificar contenido o emitir certificados fraudulentos de sitios legítimos.
Así lo ha demostrado un equipo de investigadores de la firma de seguridad Secorvo, que ha publicado un informe que revela lo sencillo que puede resultar a un atacante obtener las claves privadas de los certificados raíz de estas aplicaciones.
Tras obtener acceso a las claves privadas, los investigadores pudieron generar un certificado raíz falso para firmar el tráfico de google.com, sennheiser.com y otros dominios legítimos, para después poder leer y modificar el tráfico seguro a estos sitios web mediante un ataque Man in The Middle (hombre en el medio, en español).
Además, siguiendo los mismos pasos, un criminal podría crear fácilmente certificados fraudulentos para los dominios de los bancos, lo que le permitiría robar el usuario y la contraseña de la víctima, así como información de sus tarjetas de crédito u otros datos confidenciales.
Si tienes instalada alguna de las aplicaciones de Sennheiser afectadas, entra en este enlacepara obtener las actualizaciones de seguridad correspondientes. En esta otra página publicada por la compañía encontrarás la información necesaria para eliminar los certificados y mantener tu equipo protegido.
Publicidad