![](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\")
Ein von OEMs (HP, PHILIPS, FUJITSU) auf vielen Windows-Notebooks vorinstalliertes Tool stellt ein Sicherheitsrisiko f\u00fcr Benutzer dar. Millionen Ger\u00e4te d\u00fcrften betroffen sein.<\/p>\nEin von OEMs (HP, PHILIPS, FUJITSU) auf vielen Windows-Notebooks vorinstalliertes Tool stellt ein Sicherheitsrisiko f\u00fcr Benutzer dar. Millionen Ger\u00e4te d\u00fcrften betroffen sein.<\/p>\n
Das Thema ist nicht so wirklich neu \u2013 ich hatte im Blog ja immer wieder Beitr\u00e4ge, in denen potentiell unerw\u00fcnschte Software der OEMs als Sicherheitsrisiko thematisiert wurde (siehe Linkliste am Artikelende). <\/p>\n
Aktuell geht es um den von der Firma Portrait Displays Inc. erstellten Portrait Display SDK Dienst. Dieser erm\u00f6glicht die Bildschirmeinstellungen zu verwalten und wird \u00fcber das SDK-Programm PdiService.exe <\/em>auf Windows-Systemen implementiert. Viele OEMs liefern das Programm unter verschiedenen Namen aus. Fujitsu nennt das Ganze DisplayView Click, andere OEMs haben weitere klangvolle Namen erfunden.<\/p>\n Die Programmfunktionen erscheinen zwar sinnvoll \u2013 aber letztendlich handelt es sich um Bloatware, die auch noch mit einem Sicherheitsrisiko behaftet ist. PdiService.exe <\/em>und l\u00e4sst sich in der Standardkonfiguration von s\u00e4mtlichen authentifizierten Benutzern beschreibbar aufrufen, wie die \u00f6sterreichische Sicherheitsfirma sec.consult.com hier angibt<\/a>. Dies stellt aber ein Sicherheitsrisiko dar.<\/p>\n Zwischenzeitlich ist diese CERT-Warnung<\/a> VU#219739 ver\u00f6ffentlicht. Es betrifft die Portrait Display SDK, Versionen 2.30 bis 2.34 Die Anweisung:<\/p>\n sc.exe config <\/em>pdiService.exe binpath \"mc.exe \u2013nv \u2013l 127.0.0.1 \u2013p4242 \u2013p c:\\Windows\\System32\\cmd.exe |out-null<\/em><\/p>\n verwendet den UAC-Bypassing-Ansatz (siehe Erebus Ransomware und die ausgetrickste UAC<\/a>), um \u00fcber den Dienst und die Microsoft Verwaltungskonto die Eingabeaufforderung mit entsprechenden Privilegien zu \u00f6ffnen. Die Eingabeaufforderung l\u00e4uft anschlie\u00dfend mit den Privilegien des Systems.<\/p>\n Vom Anbieter gibt es zwar eine aktualisierte Fassung der PdiService.exe<\/em>, die durch OEMs angeboten werden sollte. Man kann aber die Schreib\/Leseberechtigungen f\u00fcr authentifizierte Nutzer (Authenticated Users) in einer administrativen Eingabeaufforderung mittels des Befehls:<\/p>\n sc sdset pdiservice D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA) entziehen. Dann sollte die Sicherheitsl\u00fccke geschlossen sein. Das zeigt wieder einmal, dass Softwarebeigaben der OEMs die Systeme nicht nur mit unn\u00fctzem Zeugs belasten, sondern zu Sicherheitsproblemen f\u00fchren. Ein paar zus\u00e4tzliche Informationen finden sich bei golem.de in diesem Artikel<\/a>. Jemand von Euch, der die Software auf seinem System hat?<\/p>\n Erg\u00e4nzung: Es klang in den Kommentaren ja an, dass die Software 'nie' auf HP-Systemen eingesetzt wurde. Auf der Portait-Webseite<\/a> wird aber ein HP Display Assistant thematisiert \u2013 dessen Version 2.1 im US-CERT als vulnerable angegeben ist. Ich selbst kann das Mangels Ger\u00e4ten nicht final verifizieren.<\/p>\n \u00c4hnliche Artikel:<\/strong> Ein von OEMs (HP, PHILIPS, FUJITSU) auf vielen Windows-Notebooks vorinstalliertes Tool stellt ein Sicherheitsrisiko f\u00fcr Benutzer dar. Millionen Ger\u00e4te d\u00fcrften betroffen sein.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1006,11,426,301],"tags":[3099,6113,6044,4328,4325],"class_list":["post-189691","post","type-post","status-publish","format-standard","hentry","category-notebook","category-problemlosung","category-sicherheit","category-windows","tag-bloatware","tag-pdiservice-exe","tag-pup","tag-sicherheit","tag-windows"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/189691","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=189691"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/189691\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=189691"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=189691"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=189691"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}
(A;;CCLCSWLOCRRC;;;IU)(A;;CCLCSWLOCRRC;;;SU)<\/p>\n
Sicherheitsl\u00fccken bei Dell, Lenovo, Toshiba durch PUPs\u2026<\/a>
Windows 10-Upgrade: Probleme mit Toshiba ConfigFree Utility<\/a>
Erebus Ransomware und die ausgetrickste UAC<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"