Abo
  • Services:

Deinstallation oder Update hilft nicht

Was die ganze Sache besonders schwerwiegend macht: Die installierten Root-Zertifikate bleiben auch nach einer Deinstallation oder nach einem Update erhalten. Wer also die ältere Version der Headsetup-Software installiert hatte, ist selbst dann für die schwerwiegendere, ursprüngliche Form der Lücke verwundbar, wenn zwischenzeitlich ein Update durchgeführt wurde.

Stellenmarkt
  1. MailStore Software GmbH, Viersen
  2. DKS Dienstleistungsgesellschaft für Kommunikationsanlagen des Stadt- und Regionalverkehrs mbH, Köln

Nutzer können sich nur schützen, indem sie manuell die entsprechenden Root-Zertifikate aus dem Windows-Zertifikatsspeicher entfernen. Die Zertifikate haben die Namen "SennComRootCA" und "127.0.0.1".

Auf Anfrage teilte Sennheiser Golem.de mit, dass ein Update in circa zwei Wochen zur Verfügung stehen werde. Zudem biete Sennheiser in der Zwischenzeit über seinen Support betroffenen Kunden ein Skript an, welches die entsprechenden Zertifikate entfernt.

Unklar ist, warum in der Sennheiser-Software überhaupt ein lokaler HTTPS-Server zum Einsatz kommt. Denn auf ein Headset können Browser auch über die standardisierte Web Audio API zugreifen. Auf unsere Frage zum lokalen HTTPS-Server antwortete Sennheiser lediglich: "Dieser ist notwendig, um web-basierte Telefonate zu führen und die neueste Generation von internetbasierten Softphones anzusteuern."

Wenn die Software lokale HTTPS-Server nutzt, geschieht das in der Regel, um Mixed-Content-Warnungen der Browser zu vermeiden. Diese erscheinen, wenn eine HTTPS-Webseite Inhalte von unverschlüsselten HTTP-Verbindungen einbindet.

Lokale Verbindungen sind auch ohne HTTPS sicher

Allerdings ist dies weitgehend veraltet. Denn ein Standard des W3C sieht vor, dass Verbindungen zu einem lokalen HTTP-Server unter 127.0.0.1 auch dann als sicher angesehen werden sollen, wenn sie unverschlüsselt stattfinden. Denn da diese nicht über das Netz gehen, gibt es auch keine Notwendigkeit für eine Verschlüsselung. In aktuellen Browsern sollte es daher auch keine Warnungen mehr geben.

Falls eine Software auch in Browsern funktionieren soll, die diesen neuen W3C-Standard noch nicht unterstützen, gibt es die Möglichkeit, auf jedem System lokal ein neues Root-Zertifikat mit einem individuellen privaten Schlüssel zu erzeugen.

Sicherheitslücken durch Software, die lokale Root-Zertifikate installiert, treten immer wieder auf. Bekannte Beispiele aus der Vergangenheit sind etwa die Software Superfish, die eine Zeit lang auf Lenovo-Laptops vorinstalliert war, und das besondere elektronische Anwaltspostfach (BeA).

 Root-Zertifikat: Sennheiser-Software hebelt HTTPS-Sicherheit aus
  1.  
  2. 1
  3. 2


Anzeige
Blu-ray-Angebote
  1. (u. a. 3 Blu-rays für 15€, 2 Neuheiten für 15€)
  2. 5€ inkl. FSK-18-Versand
  3. 5€ inkl. FSK-18-Versand

Iruwen 11. Nov 2018

Wir haben ihn gelesen und vor allem auch verstanden.

Tragen 09. Nov 2018

Vorsicht vor der Aussage. Man kann Firefox sehr wohl konfigurieren dass die erlaubten...

xaru 09. Nov 2018

Hallo zusammen, mein erster Gedanke war: "warum überhaupt eine Webseite?" Hätte ja auch...


Folgen Sie uns
       


LG Watch W7 - Fazit

LG kombiniert bei seiner Watch W7 ein Display mit analogen Zeigern - eigentlich eine gute Idee, Nutzer müssen dafür aber auf zahlreiche Funktionen verzichten.

LG Watch W7 - Fazit Video aufrufen
Magnetfeld: Wenn der Nordpol wandern geht
Magnetfeld
Wenn der Nordpol wandern geht

Das Erdmagnetfeld macht nicht das, was Geoforscher erwartet hatten - Nachjustierungen am irdischen Magnetmodell sind erforderlich.
Ein Bericht von Dirk Eidemüller

  1. Emotionen erkennen Ein Lächeln macht noch keinen Frohsinn
  2. Ökostrom Wie Norddeutschland die Energiewende vormacht
  3. Computational Periscopy Forscher sehen mit einfacher Digitalkamera um die Ecke

Chromebook Spin 13 im Alltagstest: Tolles Notebook mit Software-Bremse
Chromebook Spin 13 im Alltagstest
Tolles Notebook mit Software-Bremse

Bei Chromebooks denken viele an billige, knarzende Laptops - das Spin 13 von Acer ist anders. Wir haben es einen Monat lang verwendet - und uns am Ende gefragt, ob der veranschlagte Preis für ein Notebook mit Chrome OS wirklich gerechtfertigt ist.
Ein Test von Tobias Költzsch


    Tesla: Kleiner Gewinn, ungewisse Zukunft
    Tesla
    Kleiner Gewinn, ungewisse Zukunft

    Tesla erzielt im vierten Quartal 2018 einen kleinen Gewinn. Doch mit Entlassungen, Schuldenberg, Preisanhebungen beim Laden, Wegfall des Empfehlungsprogramms und zunehmendem Wettbewerb durch andere Hersteller sieht die Zukunft des Elektroauto-Herstellers durchwachsen aus.
    Eine Analyse von Dirk Kunde

    1. Tesla Model 3 Tesla macht alle Varianten des Model 3 günstiger
    2. Kundenprotest Tesla senkt Supercharger-Preise wieder
    3. Stromladetankstellen Tesla erhöht Supercharger-Preise drastisch

      •  /