Gestern hatte ich im Artikel Sicherheits-GAU: Dell-Zertifkat bringt massive Sicherheitslücke über den sicherheitstechnischen GAU berichtet, den Dell mit selbst ausgestellten Root-CA-Zertifikaten angerichtet hat. Aber da geht noch was.
Anzeige
Scheinbar segelt Dell irgendwo auf den Spuren VW und der Abgasaffäre. Erst wird man mit heruntergelassener Hose erwischt, gelobt Besserung und haut einen Fix raus – und dann kommt die nächste Schweinerei ans Licht.
Neben dem eDellRoot-Zertifikat haut Dell offenbar weitere selbst erstellte Zertifikate mit eigenen Tools raus. In der gestrigen Stellungnahme zu eDellRoot findet sich ein Nutzerkommentar, der fragt:
What about the equally problematic DSDTestProvider root certificate that seems to have been installed by Dell System Detect on my XPS 13? It has the same properties as eDellRoot & also includes a private key …
Also genau der gleiche Mist wie beim eDellRoot-Zertifikat. Laut golem.de steht das DSS im DSDTestProvider-Zertifikatsnamen für "Dell System Detect" – ein Tool, welches sich von dieser Dell-Seite herunterladen lässt. Auf dieser Testseite wird der Rechner jetzt auch auf die DellRoot- und DSDTestProvider-Zertifikate überprüft.
Geht man die Kommentare zur Dell-Stellungnahme durch, werden von mehren Nutzern Probleme bei der Deinstallation des eDellRoot-Zertifikats berichtet. Und Dell präzisiert, welche Systeme das Zertifikat bekommen haben:
Anzeige
Any commercial and consumer systems that received an update to Dell Foundation Services beginning in August 2015 were impacted. This update was removed on 11/23 and was replaced by a new update that will eliminate the root certificate from systems. Commercial customers who reimaged their systems without the Dell Foundation Services application were not impacted.
Weiterhin bestätigt ein Dell-Mitarbeiter, dass man das DSDTestProvider-Zertifikats-Problem intern untersucht. Auf dieser Webseite gibt es weitere Hinweise, was sich so auf Dell-Systemen rumtreibt. Bleibt die Frage: Was kommt denn noch? Um mit dem VW-Beispiel zu sprechen: Wann fallen die nächsten Hersteller auf? [Update: Bei heise.de ist dieser Beitrag zum Thema erschienen.]
Ähnliche Artikel:
Lenovo Geräte mit Superfish-Adware verseucht
Avast nutzt auch den 'Superfish-Ansatz' bei Mail Shield
Lenovo Service Engine (LSE) – Superfish reloaded II
Sicherheits-GAU: Dell-Zertifkat bringt massive Sicherheitslücke
Anzeige
Hallo
hab da gestern wohl recht gehabt, ist ja wie bei VW, es wird nur zugegeben was denn rauskommt bzw. schon rausgekommen ist!!!!!!
Da hilft dann nur ein Clean-Install, Hauptsache der Mist ist nicht in den Treibern für die Sonder-Tasten usw., die man nur von Dell kriegt?