Deinstallation oder Update hilft nicht

Was die ganze Sache besonders schwerwiegend macht: Die installierten Root-Zertifikate bleiben auch nach einer Deinstallation oder nach einem Update erhalten. Wer also die ältere Version der Headsetup-Software installiert hatte, ist selbst dann für die schwerwiegendere, ursprüngliche Form der Lücke verwundbar, wenn zwischenzeitlich ein Update durchgeführt wurde.

Stellenmarkt
  1. Data Foundation Architect (m/w/d)
    Volkswagen Financial Services AG, Braunschweig
  2. Software Architect (f/m/d)
    NEXPLORE Technology GmbH, Darmstadt, Essen, München
Detailsuche

Nutzer können sich nur schützen, indem sie manuell die entsprechenden Root-Zertifikate aus dem Windows-Zertifikatsspeicher entfernen. Die Zertifikate haben die Namen "SennComRootCA" und "127.0.0.1".

Auf Anfrage teilte Sennheiser Golem.de mit, dass ein Update in circa zwei Wochen zur Verfügung stehen werde. Zudem biete Sennheiser in der Zwischenzeit über seinen Support betroffenen Kunden ein Skript an, welches die entsprechenden Zertifikate entfernt.

Unklar ist, warum in der Sennheiser-Software überhaupt ein lokaler HTTPS-Server zum Einsatz kommt. Denn auf ein Headset können Browser auch über die standardisierte Web Audio API zugreifen. Auf unsere Frage zum lokalen HTTPS-Server antwortete Sennheiser lediglich: "Dieser ist notwendig, um web-basierte Telefonate zu führen und die neueste Generation von internetbasierten Softphones anzusteuern."

Golem Karrierewelt
  1. Container Management und Orchestrierung: virtueller Drei-Tage-Workshop
    06.-08.03.2023, Virtuell
  2. ITIL 4® Foundation: virtueller Zwei-Tage-Workshop
    12./13.12.2022, virtuell
Weitere IT-Trainings

Wenn die Software lokale HTTPS-Server nutzt, geschieht das in der Regel, um Mixed-Content-Warnungen der Browser zu vermeiden. Diese erscheinen, wenn eine HTTPS-Webseite Inhalte von unverschlüsselten HTTP-Verbindungen einbindet.

Lokale Verbindungen sind auch ohne HTTPS sicher

Allerdings ist dies weitgehend veraltet. Denn ein Standard des W3C sieht vor, dass Verbindungen zu einem lokalen HTTP-Server unter 127.0.0.1 auch dann als sicher angesehen werden sollen, wenn sie unverschlüsselt stattfinden. Denn da diese nicht über das Netz gehen, gibt es auch keine Notwendigkeit für eine Verschlüsselung. In aktuellen Browsern sollte es daher auch keine Warnungen mehr geben.

Falls eine Software auch in Browsern funktionieren soll, die diesen neuen W3C-Standard noch nicht unterstützen, gibt es die Möglichkeit, auf jedem System lokal ein neues Root-Zertifikat mit einem individuellen privaten Schlüssel zu erzeugen.

Sicherheitslücken durch Software, die lokale Root-Zertifikate installiert, treten immer wieder auf. Bekannte Beispiele aus der Vergangenheit sind etwa die Software Superfish, die eine Zeit lang auf Lenovo-Laptops vorinstalliert war, und das besondere elektronische Anwaltspostfach (BeA).

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Root-Zertifikat: Sennheiser-Software hebelt HTTPS-Sicherheit aus
  1.  
  2. 1
  3. 2


Iruwen 11. Nov 2018

Wir haben ihn gelesen und vor allem auch verstanden.

Tragen 09. Nov 2018

Vorsicht vor der Aussage. Man kann Firefox sehr wohl konfigurieren dass die erlaubten...

xaru 09. Nov 2018

Hallo zusammen, mein erster Gedanke war: "warum überhaupt eine Webseite?" Hätte ja auch...



Aktuell auf der Startseite von Golem.de
Metaverse
EU blamiert sich mit interaktiver Onlineparty

Rund 387.000 Euro an Kosten, fünf Besucher auf der Onlineparty: Ein EU-Projekt wollte junge Menschen als Büroklammer tanzen lassen.

Metaverse: EU blamiert sich mit interaktiver Onlineparty
Artikel
  1. Elektromobilität: Hyundai zeigt Elektrosportwagen Ioniq 5 N
    Elektromobilität
    Hyundai zeigt Elektrosportwagen Ioniq 5 N

    Hyundai hat erstmals ein Video mit dem Ioniq 5 N veröffentlicht. Das besonders sportliche Fahrzeug soll die N-Marke beleben.

  2. High Purity in der Produktion: Unter Druck reinigen
    High Purity in der Produktion
    Unter Druck reinigen

    Ob Autos, Elektronik, Medizin oder Halbleiter: Die Reinhaltung bis in den Nanobereich wird immer wichtiger. Das stellt hohe Anforderung an Monitoring und Prozesslenkung.
    Ein Bericht von Detlev Prutz

  3. Patches: Anti-Ruckel-Updates für Pokémon und Callisto zeigen Wirkung
    Patches
    Anti-Ruckel-Updates für Pokémon und Callisto zeigen Wirkung

    Warum nicht gleich so? Für die von Bugs geplagten Computerspiele Pokémon Karmesin/Purpur und The Callisto Protocol gibt es Updates.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • PS5-Bundle vorbestellbar • Amazon-Geräte bis -53% • Mindstar: AMD-Ryzen-CPUs zu Bestpreisen • Alternate: Kingston FURY Beast RGB 32GB DDR5-4800 146,89€ • Advent-Tagesdeals bei MediaMarkt/Saturn: u. a. SanDisk Ultra microSDXC 512GB 39€ • Thrustmaster Ferrari GTE Wheel 87,60€ [Werbung]
    •  /