Le logiciel HeadSetup, accompagnant les casques et certaines enceintes du constructeur réputé Sennheiser, mettrait en péril la sécurité des machines sur lesquelles il a été installé.
Nos confrères d'ArsTechnica estiment qu'il s'agit d'une gaffe monumentale et indiquent que la vulnérabilité provient d'un certificat signé installé par la version 7.3 de l'application, qui conservait la clé chiffrée dans un format pouvant être aisément utilisée par les pirates.
Chaque installation ayant la même clé, les hackers pouvaient utiliser le certificat pour en générer des versions altérées qui seront acceptées par les machines exécutant HeadSetup. La clé était chiffrée avec le mot de passe SennheiserCC, qui était de plus stocké en toutes lettres dans un des fichiers de configuration.
Pire, le certificat serait valide pour la machine jusqu'en 2027, et n'est pas effacé de l'ordinateur par une désinstallation basique. Tous les utilisateurs d'HeadSetup qui ont installé le logiciel, sur Windows comme macOS, sont invités à faire une désinstallation manuelle(vous trouverez la marche à suivre ici), ou à installer la dernière version du soft qui supprime le fichier incriminé.
