В двух приложениях – HeadSetup, а также HeadSetup Pro, выпущенных разработчиками Sennheiser, из-за критической уязвимости, обнаруженной в корневых сертификатах, злоумышленники могли, благодаря получению доступа к приватным ключам, выпускать поддельные сертификаты. Такие данные предоставило издание Ars Technica, ссылаясь на экспертов Secorovo, которые определили опасную уязвимость не только для macOS, но и для устройств, работающих под управлением Windows.

Критическая уязвимость HeadSetup, связана с самозаверяющим корневым сертификатом, хранящим закрытые ключи безопасности в формате, который легко извлечь из SennComCCKey.pem. Поскольку фактически ключ был идентичен для всех установок ПО, хакерам было несложно использовать поддельные сертификаты для своих целей.

Что предпринять?

Опасность состоит в том, что любая система с приложением HeadSetup будет подтверждать надежность сертификата до 2027 года. Поэтому у пользователей не так много выбора: или дождаться окончания срока действия сертификата, либо использовать обновление, устраняющее данную уязвимость.

Разработчики компании Sennheiser намерены создать патч в кратчайшие сроки для устранения проблемы, и в течение недели выпустить обновление, которое автоматически удалит корневые сертификаты с затронутых устройств и будет внедрять новые, гарантирующие высокую степень безопасности. [Источник]

Кто это?
Sennheiser electronic GmbH & Co. KG (произн. «Зенхайзер») — немецкий производитель оборудования для записи, трансляции и воспроизведения звука. Компания основана в 1945 году Фрицем Зеннхайзером изначально под названием «Labor W».
Компания была основана в 1945 году Фрицем Зеннхайзером (1912—2010) и ещё несколькими инженерами из Ганноверского университета изначально под названием «Labor W», что является сокращением от нем. Laboratorium Wennebostel — «Лаборатория в Веннебостеле» (Wennebostel — небольшая деревня в Германии, куда был эвакуирован университет во время Второй мировой войны). В первое время компания занималась изготовлением ламповых вольтметров.[Вики]