Abo
  • IT-Karriere:

Deinstallation oder Update hilft nicht

Was die ganze Sache besonders schwerwiegend macht: Die installierten Root-Zertifikate bleiben auch nach einer Deinstallation oder nach einem Update erhalten. Wer also die ältere Version der Headsetup-Software installiert hatte, ist selbst dann für die schwerwiegendere, ursprüngliche Form der Lücke verwundbar, wenn zwischenzeitlich ein Update durchgeführt wurde.

Stellenmarkt
  1. operational services GmbH & Co. KG, Berlin, Frankfurt am Main, Wolfsburg, Braunschweig
  2. Hays AG, Stuttgart

Nutzer können sich nur schützen, indem sie manuell die entsprechenden Root-Zertifikate aus dem Windows-Zertifikatsspeicher entfernen. Die Zertifikate haben die Namen "SennComRootCA" und "127.0.0.1".

Auf Anfrage teilte Sennheiser Golem.de mit, dass ein Update in circa zwei Wochen zur Verfügung stehen werde. Zudem biete Sennheiser in der Zwischenzeit über seinen Support betroffenen Kunden ein Skript an, welches die entsprechenden Zertifikate entfernt.

Unklar ist, warum in der Sennheiser-Software überhaupt ein lokaler HTTPS-Server zum Einsatz kommt. Denn auf ein Headset können Browser auch über die standardisierte Web Audio API zugreifen. Auf unsere Frage zum lokalen HTTPS-Server antwortete Sennheiser lediglich: "Dieser ist notwendig, um web-basierte Telefonate zu führen und die neueste Generation von internetbasierten Softphones anzusteuern."

Wenn die Software lokale HTTPS-Server nutzt, geschieht das in der Regel, um Mixed-Content-Warnungen der Browser zu vermeiden. Diese erscheinen, wenn eine HTTPS-Webseite Inhalte von unverschlüsselten HTTP-Verbindungen einbindet.

Lokale Verbindungen sind auch ohne HTTPS sicher

Allerdings ist dies weitgehend veraltet. Denn ein Standard des W3C sieht vor, dass Verbindungen zu einem lokalen HTTP-Server unter 127.0.0.1 auch dann als sicher angesehen werden sollen, wenn sie unverschlüsselt stattfinden. Denn da diese nicht über das Netz gehen, gibt es auch keine Notwendigkeit für eine Verschlüsselung. In aktuellen Browsern sollte es daher auch keine Warnungen mehr geben.

Falls eine Software auch in Browsern funktionieren soll, die diesen neuen W3C-Standard noch nicht unterstützen, gibt es die Möglichkeit, auf jedem System lokal ein neues Root-Zertifikat mit einem individuellen privaten Schlüssel zu erzeugen.

Sicherheitslücken durch Software, die lokale Root-Zertifikate installiert, treten immer wieder auf. Bekannte Beispiele aus der Vergangenheit sind etwa die Software Superfish, die eine Zeit lang auf Lenovo-Laptops vorinstalliert war, und das besondere elektronische Anwaltspostfach (BeA).

 Root-Zertifikat: Sennheiser-Software hebelt HTTPS-Sicherheit aus
  1.  
  2. 1
  3. 2


Anzeige
Hardware-Angebote
  1. täglich neue Deals bei Alternate.de

Iruwen 11. Nov 2018

Wir haben ihn gelesen und vor allem auch verstanden.

Tragen 09. Nov 2018

Vorsicht vor der Aussage. Man kann Firefox sehr wohl konfigurieren dass die erlaubten...

xaru 09. Nov 2018

Hallo zusammen, mein erster Gedanke war: "warum überhaupt eine Webseite?" Hätte ja auch...


Folgen Sie uns
       


Schneller 3D-Drucker vom Fraunhofer IWU - Bericht

Ein 3D-Drucker für die Industrie: Das Fraunhofer IWU stellte auf der Hannover Messe 2019 einen 3D-Drucker vor, der deutlich schneller ist als herkömmliche Geräte dieser Art.

Schneller 3D-Drucker vom Fraunhofer IWU - Bericht Video aufrufen
Bug Bounty Hunter: Mit Hacker 101-Tutorials zum Millionär
Bug Bounty Hunter
Mit "Hacker 101"-Tutorials zum Millionär

Santiago Lopez hat sich als Junge selbst das Hacken beigebracht und spürt Sicherheitslücken in der Software von Unternehmen auf. Gerade hat er damit seine erste Million verdient. Im Interview mit Golem.de erzählt er von seinem Alltag.
Ein Interview von Maja Hoock

  1. White Hat Hacking In unter zwei Stunden in Universitätsnetzwerke gelangen

Bethesda: Ich habe TES Blades für 5,50 Euro durchgespielt
Bethesda
Ich habe TES Blades für 5,50 Euro durchgespielt

Rund sechs Wochen lang hatte ich täglich viele spaßige und auch einige frustrierende Erlebnisse in Tamriel: Mittlerweile habe ich den Hexenkönig in TES Blades besiegt - ohne dafür teuer bezahlen zu müssen.
Ein Bericht von Marc Sauter

  1. Bethesda TES Blades erhält mehr Story-Inhalte und besseres Balancing
  2. Bethesda TES Blades ist für alle verfügbar
  3. TES Blades im Test Tolles Tamriel trollt

LTE-V2X vs. WLAN 802.11p: Wer hat Recht im Streit ums Auto-WLAN?
LTE-V2X vs. WLAN 802.11p
Wer hat Recht im Streit ums Auto-WLAN?

Trotz langjähriger Verhandlungen haben die EU-Mitgliedstaaten die Pläne für ein vernetztes Fahren auf EU-Ebene vorläufig gestoppt. Golem.de hat nachgefragt, ob LTE-V2X bei direkter Kommunikation wirklich besser und billiger als WLAN sei.
Eine Analyse von Friedhelm Greis

  1. Vernetztes Fahren Lobbyschlacht um WLAN und 5G in Europa
  2. Gefahrenwarnungen EU setzt bei vernetztem Fahren weiter auf WLAN

    •  /