Superfish reloaded: Dell lieferte PCs mit unsicherem Zertifikat aus

Der US-Computerkonzern Dell hat offenbar eine Vielzahl verschiedener PC-Modelle mit einem vorinstallierten Digitalen Zertifikat ausgeliefert, das es Angreifern leicht macht, sich zum Beispiel als Google, eine Bank oder praktisch jede beliebige ... mehr... Sicherheit, Sicherheitslücken, schloss, Abus, Kette Bildquelle: John Dierckx / Flickr Sicherheit, Sicherheitslücken, schloss, Abus, Kette Sicherheit, Sicherheitslücken, schloss, Abus, Kette John Dierckx / Flickr

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Falls es noch nicht genug Argumente für einen Clean-Install bei einem neuen PC gab...
 
@adrianghc: wird vielen leider immer noch nicht reichen...
 
@adrianghc: Ein Clean Install bei einem Laptop ist gar nicht so einfach. Woher soll ich wissen welche Treiber ich alle brauche, damit dann das Gerät genau so läuft wie es soll?
 
@Krucki: Das stimmt. Wenn der Hersteller nicht die Treiber auf seiner Website oder auf einer CD zur Verfügung stellt, wird das komplizierter. Aber es sollte in einem Nachmittag machbar sein, die Treiber aufzufinden, wenn man mit dem Geräte-Manager umgehen kann.
 
@adrianghc: An den Gerätemanager habe ich jetzt gar nicht gedacht. :D
 
@adrianghc: Bei einigen Laptops wirst du bei der CD schon die Probleme bekommen, denn die meisten haben gar kein optisches Laufwerk mehr.
Und wenn man z.B. auch keinen Treiber für die Netzwerkkomponenten hat (Ethernet, WLAN) hat sich das dann für den Laien schon erledigt.
 
@basti2k: Es gibt ja CD-Laufwerke, die man über USB anschließen kann.
 
@adrianghc: Also ich würde mir kein optisches USB-Laufwerk kaufen, bloß um die Treiber auf einen Notebook zu installieren.
 
@basti2k: Bloß dafür nicht, aber es ist sinnvoll, sowieso eins zu haben, für alle Falle. Kostet nicht viel und hält dann ein paar Jahre lang.
 
@adrianghc: Das große Problem ist doch: Du oder ich kriegen das hin. Wir sind aber auch diejenigen, die solche Infos durch aktives Lesen von IT Seiten überhaupt bekommen. Wir sind nicht das Problem. Das Problem sind die 95 Prozent der User, für die ein PC ein PC ist, und nicht auch zumindest zum Teil ein Hobby (oder Job). Das Problem sind User wie meine Eltern oder mein Bruder. Abgesehn davon, dass die gar nicht mitbekommen dass es hier ein Problem gibt, die würden bei der Info "Da ist ein TLS Rootzertifikat..." bei TLS aussteigen. Wenn ich denen sag: "Gehts auf die Homepage und holt Euch die Treiber", fragens mich wie es mir geht. Normalerweise müssten die Hardwarhersteller hier Schadensersatzpflichtig werden. Die Computer gehen immer mehr in Richtung: "Box, bei der man nix konfigurieren muss damit es funktioniert", deshalb darf man von Usern auch sowas nicht verlangen. Jeder Schaden, der durch diesen Dreck verursacht wird, muss eingeklagt werden können. Dann werden sich die Hersteller hoffentlich dreimal überlegen was sie mit installieren.
 
@Tintifax: Du hast völlig Recht. Man kann wenigstens hoffen, dass jeder in seinem Bekanntenkreis jemanden "wie du und ich" hat (oder es selber ist), der in einem solchen Fall helfen könnte.
 
@Krucki: Entweder du kopierst den "%windir%\system32\drivers"-Ordner (dort sind bis auf die Grafikkarten-Treiber alle drinnen und die auf der Nvidia/AMD/Intel-Seite zu laden ist ja wirklich kein Problem) oder man verwendet das Tool "DoubleDriver". Das legt dir alle Treiber sogar sauber strukturiert ab.
 
@MariaBrown: Gut zu wisssen :)
 
@adrianghc: https://www.youtube.com/watch?v=fX73ggsMNEI
 
@adrianghc: Erinnert sich jemand an diese Lenovo-Adware Superfish, welche im Artikel verlinkt wurde? Diese wurde trotz Clean-Install automatisch nachinstalliert, weil es im UEFI steckt. Selbst DAMIT reicht es heutzutage nicht mehr.
 
Das mit den Zertifikaten ist auch so eine Sache, die schwer ist jedem 0815-User beizubringen. Bei den meisten ganz oder garnicht, entweder alles erlauben oder alles abweisen :D
 
Leider einige Fehler im Artikel.

"Das von Dell selbst signierte TLS-Zertifikat wurde [...] von 'eDellRoot' ausgestellt": Nein, ein selbstsigniertes Zertifikat wird von keiner CA ausgestellt sondern wird, wie der Name schon sagt, *selbst* ausgestellt.

"Sicher ist aber mittlerweile, dass es auch als Signatur von Anwendungen genutzt werden kann, was die Umgehung von Microsofts in Windows eingebauten Sicherheitsmaßnahmen ermöglicht.": Nein, das ermöglicht keine Umgehungen. Welche Sicherheitsmaßnahmen sollen das sein, und inwiefern soll ein selbstsigniertes Zertifikat dabei helfen?
 
@Garbage Collector: Ich glaub damit ist die Programmsignierung gemeint. Windows 10 warnt nun bei nicht Signierter Software "ist unbekannt, wirklich ausführen?" Wenn ich nun mit dem Cert die Software signe sollte sie zumindest auf den besagten Dell Rechnern einfach so ausgeführt werden, da das Zertifikat ja bekannt und "Trusted" ist, die Warnmeldung bleibt aus. Denke ich mir jedenfalls müsst ich mal testen
 
Sie lernen es einfach nicht...
 
Auch Dell Latitude sind betroffen. Hab das Zertifikat grade auf einem E7450 gefunden
Kommentar abgeben Netiquette beachten!

Lenovos Aktienkurs

Lenovos Aktienkurs -1 Jahr
Zeitraum: 1 Jahr