Abo
  • Services:

Deinstallation oder Update hilft nicht

Was die ganze Sache besonders schwerwiegend macht: Die installierten Root-Zertifikate bleiben auch nach einer Deinstallation oder nach einem Update erhalten. Wer also die ältere Version der Headsetup-Software installiert hatte, ist selbst dann für die schwerwiegendere, ursprüngliche Form der Lücke verwundbar, wenn zwischenzeitlich ein Update durchgeführt wurde.

Stellenmarkt
  1. Harting Electric GmbH & Co. KG, Espelkamp
  2. Dr. Wolfrum Management- und Personalberatung, Düsseldorf

Nutzer können sich nur schützen, indem sie manuell die entsprechenden Root-Zertifikate aus dem Windows-Zertifikatsspeicher entfernen. Die Zertifikate haben die Namen "SennComRootCA" und "127.0.0.1".

Auf Anfrage teilte Sennheiser Golem.de mit, dass ein Update in circa zwei Wochen zur Verfügung stehen werde. Zudem biete Sennheiser in der Zwischenzeit über seinen Support betroffenen Kunden ein Skript an, welches die entsprechenden Zertifikate entfernt.

Unklar ist, warum in der Sennheiser-Software überhaupt ein lokaler HTTPS-Server zum Einsatz kommt. Denn auf ein Headset können Browser auch über die standardisierte Web Audio API zugreifen. Auf unsere Frage zum lokalen HTTPS-Server antwortete Sennheiser lediglich: "Dieser ist notwendig, um web-basierte Telefonate zu führen und die neueste Generation von internetbasierten Softphones anzusteuern."

Wenn die Software lokale HTTPS-Server nutzt, geschieht das in der Regel, um Mixed-Content-Warnungen der Browser zu vermeiden. Diese erscheinen, wenn eine HTTPS-Webseite Inhalte von unverschlüsselten HTTP-Verbindungen einbindet.

Lokale Verbindungen sind auch ohne HTTPS sicher

Allerdings ist dies weitgehend veraltet. Denn ein Standard des W3C sieht vor, dass Verbindungen zu einem lokalen HTTP-Server unter 127.0.0.1 auch dann als sicher angesehen werden sollen, wenn sie unverschlüsselt stattfinden. Denn da diese nicht über das Netz gehen, gibt es auch keine Notwendigkeit für eine Verschlüsselung. In aktuellen Browsern sollte es daher auch keine Warnungen mehr geben.

Falls eine Software auch in Browsern funktionieren soll, die diesen neuen W3C-Standard noch nicht unterstützen, gibt es die Möglichkeit, auf jedem System lokal ein neues Root-Zertifikat mit einem individuellen privaten Schlüssel zu erzeugen.

Sicherheitslücken durch Software, die lokale Root-Zertifikate installiert, treten immer wieder auf. Bekannte Beispiele aus der Vergangenheit sind etwa die Software Superfish, die eine Zeit lang auf Lenovo-Laptops vorinstalliert war, und das besondere elektronische Anwaltspostfach (BeA).

 Root-Zertifikat: Sennheiser-Software hebelt HTTPS-Sicherheit aus
  1.  
  2. 1
  3. 2


Anzeige
Blu-ray-Angebote
  1. (u. a. Logan, John Wick, Alien Covenant, Planet der Affen Survival)
  2. (u. a. 3 Blu-rays für 15€, 2 Neuheiten für 15€)

Iruwen 11. Nov 2018 / Themenstart

Wir haben ihn gelesen und vor allem auch verstanden.

Tragen 09. Nov 2018 / Themenstart

Vorsicht vor der Aussage. Man kann Firefox sehr wohl konfigurieren dass die erlaubten...

xaru 09. Nov 2018 / Themenstart

Hallo zusammen, mein erster Gedanke war: "warum überhaupt eine Webseite?" Hätte ja auch...

Kommentieren


Folgen Sie uns
       


Red Dead Redemption 2 - Test

Das Spiel des Jahres - in punkto Hype - kommt 2018 von den GTA-Machern Rockstar. Im Test sortieren wir es im Genre ein.

Red Dead Redemption 2 - Test Video aufrufen
Resident Evil 2 angespielt: Neuer Horror mit altbekannten Helden
Resident Evil 2 angespielt
Neuer Horror mit altbekannten Helden

Eigentlich ein Remake - tatsächlich aber fühlt sich Resident Evil 2 an wie ein neues Spiel: Golem.de hat mit Leon und Claire gegen Zombies und andere Schrecken von Raccoon City gekämpft.
Von Peter Steinlechner

  1. Resident Evil Monster und Mafia werden neu aufgelegt

Drahtlos-Headsets im Test: Ohne Kabel spielt sich's angenehmer
Drahtlos-Headsets im Test
Ohne Kabel spielt sich's angenehmer

Sie nerven und verdrehen sich in den Rollen unseres Stuhls: Kabel sind gerade bei Headsets eine Plage. Doch gibt es so viele Produkte, die darauf verzichten können. Wir testen das Alienware AW988, das Audeze Mobius, das Hyperx Cloud Flight und das Razer Nari Ultimate - und haben einen Favoriten.
Ein Test von Oliver Nickel

  1. Sieben Bluetooth-Ohrstöpsel im Test Jabra zeigt Apple, was den Airpods fehlt
  2. Ticpods Free Airpods-Konkurrenten mit Touchbedienung kosten 80 Euro
  3. Bluetooth-Ohrstöpsel im Vergleichstest Apples Airpods lassen hören und staunen

Google Nachtsicht im Test: Starke Nachtaufnahmen mit dem Pixel
Google Nachtsicht im Test
Starke Nachtaufnahmen mit dem Pixel

Gut einen Monat nach der Vorstellung der neuen Pixel-Smartphones hat Google die Kamerafunktion Nachtsicht vorgestellt. Mit dieser lassen sich tolle Nachtaufnahmen machen, die mit denen von Huaweis Nachtmodus vergleichbar sind - und dessen Qualität bei Selbstporträts deutlich übersteigt.
Ein Test von Tobias Költzsch

  1. Pixel 3 Google patcht Probleme mit Speichermanagement
  2. Smartphone Google soll Pixel 3 Lite mit Kopfhörerbuchse planen
  3. Google Dem Pixel 3 XL wächst eine zweite Notch

    •  /