• IT-Karriere:
  • Services:

Deinstallation oder Update hilft nicht

Was die ganze Sache besonders schwerwiegend macht: Die installierten Root-Zertifikate bleiben auch nach einer Deinstallation oder nach einem Update erhalten. Wer also die ältere Version der Headsetup-Software installiert hatte, ist selbst dann für die schwerwiegendere, ursprüngliche Form der Lücke verwundbar, wenn zwischenzeitlich ein Update durchgeführt wurde.

Stellenmarkt
  1. Infokom GmbH, Karlsruhe
  2. OBG Gruppe GmbH, Ottweiler

Nutzer können sich nur schützen, indem sie manuell die entsprechenden Root-Zertifikate aus dem Windows-Zertifikatsspeicher entfernen. Die Zertifikate haben die Namen "SennComRootCA" und "127.0.0.1".

Auf Anfrage teilte Sennheiser Golem.de mit, dass ein Update in circa zwei Wochen zur Verfügung stehen werde. Zudem biete Sennheiser in der Zwischenzeit über seinen Support betroffenen Kunden ein Skript an, welches die entsprechenden Zertifikate entfernt.

Unklar ist, warum in der Sennheiser-Software überhaupt ein lokaler HTTPS-Server zum Einsatz kommt. Denn auf ein Headset können Browser auch über die standardisierte Web Audio API zugreifen. Auf unsere Frage zum lokalen HTTPS-Server antwortete Sennheiser lediglich: "Dieser ist notwendig, um web-basierte Telefonate zu führen und die neueste Generation von internetbasierten Softphones anzusteuern."

Wenn die Software lokale HTTPS-Server nutzt, geschieht das in der Regel, um Mixed-Content-Warnungen der Browser zu vermeiden. Diese erscheinen, wenn eine HTTPS-Webseite Inhalte von unverschlüsselten HTTP-Verbindungen einbindet.

Lokale Verbindungen sind auch ohne HTTPS sicher

Allerdings ist dies weitgehend veraltet. Denn ein Standard des W3C sieht vor, dass Verbindungen zu einem lokalen HTTP-Server unter 127.0.0.1 auch dann als sicher angesehen werden sollen, wenn sie unverschlüsselt stattfinden. Denn da diese nicht über das Netz gehen, gibt es auch keine Notwendigkeit für eine Verschlüsselung. In aktuellen Browsern sollte es daher auch keine Warnungen mehr geben.

Falls eine Software auch in Browsern funktionieren soll, die diesen neuen W3C-Standard noch nicht unterstützen, gibt es die Möglichkeit, auf jedem System lokal ein neues Root-Zertifikat mit einem individuellen privaten Schlüssel zu erzeugen.

Sicherheitslücken durch Software, die lokale Root-Zertifikate installiert, treten immer wieder auf. Bekannte Beispiele aus der Vergangenheit sind etwa die Software Superfish, die eine Zeit lang auf Lenovo-Laptops vorinstalliert war, und das besondere elektronische Anwaltspostfach (BeA).

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Root-Zertifikat: Sennheiser-Software hebelt HTTPS-Sicherheit aus
  1.  
  2. 1
  3. 2


Anzeige
Top-Angebote
  1. 169,99€ (Bestpreis!)
  2. 77,01€ (Bestpreis!)
  3. (u. a. Chieftec PPS-750FC 750 W Netzteil für 80,99€, Sharkoon VG4-W Tower in verschiedenen...
  4. (u. a. F1 2020 für 23,99€, Planet Zoo für 21,99€, Fortnite - Legendary Rogue Spider Knight...

Iruwen 11. Nov 2018

Wir haben ihn gelesen und vor allem auch verstanden.

Tragen 09. Nov 2018

Vorsicht vor der Aussage. Man kann Firefox sehr wohl konfigurieren dass die erlaubten...

xaru 09. Nov 2018

Hallo zusammen, mein erster Gedanke war: "warum überhaupt eine Webseite?" Hätte ja auch...


Folgen Sie uns
       


Gerichtsurteile: Wann fristlose Kündigungen für IT-Mitarbeiter rechtens sind
Gerichtsurteile
Wann fristlose Kündigungen für IT-Mitarbeiter rechtens sind

Wenn Beschäftigte bei der Internetnutzung nicht aufpassen oder ihre Befugnisse überschreiten, droht unter Umständen die Kündigung. Das gilt auch und vor allem für IT-Fachleute.
Von Harald Büring

  1. Jobs Unternehmen können offene IT-Stellen immer schwerer besetzen
  2. München Google stellt Standort für 1.500 weitere Beschäftigte vor
  3. Erreichbarkeit im Job Server fallen auch im Urlaub aus

Facebook, Twitter und Youtube: Propaganda, Hetze und Manipulation
Facebook, Twitter und Youtube
Propaganda, Hetze und Manipulation

Immer stärker wird im US-Wahlkampf mit Falschnachrichten, Social Bots und politischen Influencern auf Facebook, Twitter oder Youtube um Wähler gebuhlt.
Eine Analyse von Sabrina Keßler

  1. Rechtsextremismus Wie QAnon zum größten Verschwörungsmythos wurde

Leben auf dem Ozean: Reif für die autarke Insel
Leben auf dem Ozean
Reif für die autarke Insel

Die nachhaltige Heimat der Zukunft? Ein EU-Projekt forscht an modularen schwimmenden Inseln, die ihre Energie selbst erzeugen.
Ein Bericht von Monika Rößiger

  1. Umweltschutz Verbrennerverbot ab 2035 in Kalifornien
  2. Mindestens 55 Prozent Von der Leyen verschärft EU-Klimaziele deutlich
  3. Klimaschutz Studie fordert Verkaufsverbot für Verbrenner ab 2028

    •  /