I en säkerhetsvarning publicerad på tisdagen varnar Microsoft för att två applikationer från mjukvaruutvecklaren och hörlurstillverkaren Sennheiser av misstag installerar två rotcertifikat på användarnas datorer och sedan läcker privata nycklar för alla certifikat.

Sennheisers misstag (CVE-2018-17612) gör att tredje part kan utvinna de privata nycklarna för bägge certifikaten och sedan nyttja dessa för att ge ut nya falska certifikat i syfte att fejka legitima sajter och mjukvaruutgivare för lång tid framöver, skriver ZDNet.

De både applikationerna från Sennheiser är HeadSetup och HeadSetup Pro. Dessa används för att installera och hantera mjukvarutelefoner som kan användas för att ringa telefonsamtal från datorn utan tillgång till en egentlig telefon. Mjukvarutelefoner är mycket vanliga bland till exempel säljorganisationer och kundtjänstorganisationer.

Problemet med de bägge applikationerna uppdagades tidigare i år när det tyska it-säkerhetsföretaget Secorvo upptäckte att versionerna 7.3, 7.4 och 8.0 installerade två Certification Authority-certifikat (CA) i Windows Trusted Root Certificate Store på användarnas datorer, men även inkluderade privata nycklar för alla certifikat i filen SennComCCKey.pem.

Detta gäller för övrigt även OS X-användare där applikationernas Mac-versioner installerar certifikaten i Trusted Root Certificate Store, och att certifikaten inte avlägsnas även om applikationerna uppdateras eller avinstalleras.

I en rapport som Secorvo publicerade på tisdagen publicerar forskare på Secorvo ett proof-of-concept som visar hur trivialt det vore för en förövare att analysera installationsprogrammen och extrahera de privata nycklarna.

Forskarna skriver i sin rapport att "alla system där HeadSetup har installerats tidigare är sårbara tills användarna öppnar Trusted Root Certificate Store och manuellt avlägsnar certifikaten, eller tills certifikaten löper ut, vilket dröjer till den 13 januari 2027 respektive 27 juli 2037”.

Sennheiser skriver i en kommentar att de erkänner sitt misstag och tagit bort applikationerna från sin nedladdningssida nedan de utvecklar uppdateringar som beräknas släppas senare denna vecka. De nya versionerna kommer enligt Sennheiser att ta bort certifikaten från de påverkade systemen och ersätta dem med certifikat som inte läcker de privata nycklarna.

Kunder som har installerat HeadSetup uppmanas att uppdatera sina applikationer så fort uppdateringarna är tillgängliga. Användare som inte installerat applikationerna behöver inte vidta några åtgärder, men är fortfarande sårbara för attacker.

Under tiden har Microsoft uppdaterat företagets Certificate Trust List (CTL) för att ta bort användarnivå-förtroendet för certifikaten. Detta innebär att sajter eller applikationer som signerats med falska certifikat skapade genom Sennheisers rotcertifikat kommer att utlösa felmeddelanden i Windows.

De användare som inte vill vänta på Sennheisers uppdateringar kan få instruktioner om hur de manuellt avlägsnar certifikaten i Secorvos rapport (under sektionen 7.2), och även Sennheiser har publicerat instruktioner för användare av både Windows och OS X.

Läs också:
Tekniktips: Här är Chromes alla varningssidor
Varning: Hälften av falska webbplatser ser nu ut att vara ”säkra”