Dell-Laptops mit Sicherheitslücken ausgeliefert
Dell hat Laptops mit einer vorinstallierten Sicherheitslücke verkauft. Ein sogenanntes Root Certificate ist offenbar Schuld. Entdecker der Lücke ist ein deutscher Software-Entwickler.
Der deutsche Security-Blogger und Golem-Redaktor Hanno Böck hat eine Sicherheitslücke bei Dell-Rechnern veröffentlicht. Seinem Bericht zufolge, installierte Dell bei seinen Business-PCs ein Root Certificate, das zu einer Sicherheitslücke führte. Eine unbeabsichtigte Lücke, wie der Hersteller gegenüber dem US-Portal ZDnet betonte.
Betroffen seien aktuelle Business-Laptops, die von Dell vorinstalliert ausgeliefert würden. Kunden, die ihre Systeme selbst aufsetzen, seien von dem Problem ausgenommen.
Laut Böck kann das maliziöse Root Certificate verschlüsselte HTTPS-Verbindungen umgehen. Böck nennt das Ganze Superfish 2.0 - in Anlehnung an den Superfish-Skandal von Lenovo, der Anfang dieses Jahres für Aufsehen sorgte.
Verantwortliche Software immer noch verfügbar
Nutzer betroffener Laptops seien einem hohen Sicherheitsrisiko ausgesetzt. Jeder Angreifer könne dieses Root-Zertifikat nutzen, um gültige Zertifikate für beliebige Webseiten zu erstellen.
"Selbst wenn die Webseite durch HTTP Public Key Pinning (HPKP) ihre Zertifikate schützt, hilft das in diesem Fall nicht, denn für manuell installierte Zertifikate ist der Key-Pinning-Schutz nicht wirksam - ein Kompromiss, den die Browserhersteller bei der Implementierung eingegangen sind, um die Funktionsweise von sogenannten TLS-Interception-Proxies nicht zu beeinträchtigen", schreibt Böck bei Golem.
Das Root Certificate ist laut Böck im Zertifikatspeicher der Rechner unter dem Namen "eDellRoot" abgelegt. Installiert wird es von der Software "Dell Foundation Services", die noch immer über Dells Website heruntergeladen werden kann. Laut der Beschreibung von Dell diene die Software dazu, Kundenservice-, Messaging- und Supportfunktionen bereitzustellen, schreibt Böck.
Dell bietet Anleitung und Entfernungstool
Golem bietet einen Online-Check, mit dem Anwender ihr System prüfen können. Betroffene Nutzer sollten das Zertifikat umgehend löschen, schreibt Böck.
Dell sagte gegenüber ZDNet, dass sich das Zertifikat nicht wieder von selbst installieren werde, nachdem es korrekt entfernt wurde. Dell stellte eine Anleitung und ein automatisches Entfernungstool bereit.
Hanno Böck wurde nach eigenen Angaben von dem Softwareentwickler Kristof Mattei vor etwa zwei Wochen auf die Lücke aufmerksam gemacht.
EU-Datenschützer beurteilen Bezahlzwang für Datenschutz als inakzeptabel
Peoplefone lanciert Mobile-Abos für Geschäftskunden
Logitechs Tastaturen und Mäuse erhalten direkten Draht zu ChatGPT
Das sind die Finalisten der Swiss Fintech Awards 2024
Was KI zur Barrierefreiheit im Web beitragen kann
Firewalls von Palo Alto enthalten eine kritische Sicherheitslücke
Update: Bundesgericht akzeptiert Swisscom-Beschwerde gegen Weko-Entscheid
Update: Österreichischer Investor übernimmt Devolo
Whatsapp und Threads verschwinden aus chinesischem App Store
