Dell Security漏洞在预先安装的软件上regignite辩论
通过移动到云来扼杀IT预算
2015年十大零售IT故事
橙色增强了与其他服务的事物互联网策略
英国国防审查批评在网络上过于轻微
在安全的港口统治不安全后,工作日敲响欧洲的支持
爱尔兰税务局通过MarkLogic加速税务数据库搜索
Hungryhouse采用Braintree付款
十大IT技能和职业故事2015年
Airwave销售到摩托罗拉解决方案700米
Citrix削减了工作和旋转的Goto业务来推动利润
小提琴双打All-Flash阵列范围,FSP 7250和FSP 7600
Kemp Little说,没有忽视网络威胁的明智的商业
法国4G网络:商业用户机会
英国IT和业务流程外包在2015年暴跌,显示ISG数字
000Webhost责备PHP开发违约1350万条记录
1248试验IOT设备管理平台
匿名针对意识活动中的日产
瑞典可以成为第一个无现金社会吗?
欧盟数据保护稳压器套装2016年1月31日更换安全港的截止日期
RTÉ倾向于卫星宽带,以涵盖爱尔兰大选
沃尔玛在印度制定巨大的数据和分析投资
调查显示,C-Suite高管对网络攻击混淆了
美国贬低政府数据库黑客的索赔
DDOS是关于金融机构的最常见的网络攻击
调查说,缺乏数据分类对公司来说非常昂贵
Gartner:是时候认真对待算法的时间
诺基亚扩展了专业服务投资组合,以帮助移动运营商拥抱云
法国原子机构测试种族对象存储
Whatsapp达到十亿用户里程碑
Mastercard Selfie支付系统在荷兰成功后在美国推出
Vision Direct使用基于Mendix云的平台重写企业应用程序
创新英国和UKTI领先于东盟智能城市任务
飞利浦使用AWS和IOT在家中提供医疗保健
Hewlett Packard企业:将我们作为一个创业公司
NHS英格兰在寻找'下一代IT系统'
铁路公司Alstom选择BT供应网络和Microsoft云服务
2016年马来西亚预算为公民的ICT,但为企业信息通信技术提供更少
瞻博网络研究没有供应商免疫下降智能手机市场下降
我们是殖民地:解决传统电影的死亡和丰富的内容
Barnsley使用SAPUI5应用程序来帮助住房现场工作人员更聪明
美国前官方表示,尚未解决的网络战争的风险
消费者希望在手机上收集忠诚度积分
记录英国现金提款,但它只是一次执行吗?
新加坡的智能国家视觉荣获初创公司和IOT开发人员
Artfinder部署neo4j图表数据库以个性化建议
在2016年底打开英国数据中心
Maersk Ciso说,IoT不一定是安全灾难
澳大利亚CIOS作为分析平台推动策略2016年的紧缩时间
澳大利亚城市变得更聪明
您的位置:首页 >论坛 > 电子商务 >

Dell Security漏洞在预先安装的软件上regignite辩论

2021-06-08 15:44:11 [来源]:

在Dell PC上发货的可能有两个易受攻击的安全证书的发现已经在预先安装的软件上重新划分了辩论。

辩论于2015年2月提出,当时联想被发现超级安装的adwarethat通过使用自签名根本HTTPS证书使客户易受伤害的Tohtptpsman-In-MiddleatTack。

戴尔也一直在使用自签名的根证书作为支持工具的一部分,提供信息,使其客户更快,更容易为其服务提供服务,但像超级鱼一样,Edellroot证书引入了重要的安全漏洞。

但戴尔在博客文章中强调,EdellRoot证书不是恶意软件或广告软件,并且不会用于收集个人客户信息。

安全专家警告说,攻击者可以通过使用黑客工具来提取证书包含的私钥来轻松克隆这些证书,以使任何HTTPS保护的网站冒充或冒充戴尔,这将使攻击者能够窃取个人数据,安装数据窃取恶意软件或劫持PC作为僵尸网络的一部分。

戴尔通过发布关于如何删除漏洞的指南,在Reddit上由Kevin Hicks(Aka Rotorcowboy)上标记了漏洞,返回漏洞的指南。该公司还表示,它将发出一个软件更新以删除证书。

但是,笔记本电脑MOT声称已经发现了一个名为DSDTestProvider的第二个自签名证书,该证书还包含最近制作Dell XPS 13的私钥。

戴尔随后通过释放修复程序来回复,报告BBC。该公司表示,第二个问题影响了在2015年10月20日和2015年11月20日之间下载其Dell系统检测产品的用户,并且未在计算机上预先安装。

戴尔表示,一旦发现问题并提供替代申请,将从其网站中取出该产品。

“一些戴尔笔记本电脑用至少一个,现在可能的两个戴尔笔记本电脑的消息表示,流氓根证书在铺设工厂操作系统映像的过程中占据了消费者使用的过程中的潜在安全性故障,”安全工程说安全公司Rapid7的经理7。

他敦促用户联系他们的支持代表,了解有关如何删除这些恶意证书的说明。

“用户依赖于操作系统的工厂图像默认相当安全;从原始来源重新安装操作系统的行为通常超出了平均最终用户的技术能力,“Beardsley说。

Cyber​​ Security公司Webroot的威胁研究高级经理David Kennerley表示,尽管联想超级鱼丑闻,预安装自签名证书是常见的。

“一些制造商可选择未安装这些产品,但在选择退出之前您必须了解此类软件。

“无论是不需要的广告软件还是自签名的根证书颁发机构,消费者都应该采取预防措施来了解谁在自己的设备上观看并采取必要的安全行动,”他说。

根据安全情报公司挪威数据开发副总裁安德鲁·卢旺曼的说法,任何企业都应该在交付时重新加载他们的操作系统,而不是默认情况下使用来自工厂的内容。

“至于保护,所有企业都应在网络和设备上阻止戴尔证书颁发机构。从笔记本电脑和台式机卸载证书颁发机构应该是政策更新的问题,“他说。

戴尔已经证实,在没有戴尔基金会服务的情况下重新成像其系统的商业客户不受此问题的影响。安全公司Tripwire的研究人员发布了一个免费的工具,使戴尔用户能够测试Edellroot证书。

安全公司Certivox的首席执行官Brian Spector表示,该问题再次表明,商业数字证书业一般被破坏,需要更换。

“这个最新事件只是许多人中的一个,商业证书颁发机构作为单一信任点的地位导致严重问题,”他说。

“在短期内,戴尔应立即停止使用此根证书提供设备。从长远来看,科技产业必须意识到,由于持有根关键的实体可能对与最终用户的信任关系产生这种不利影响,因此TECPKI [公钥基础架构] ISN“T符合目的。”

根据旨在的说法,最好的事情就是重点。“需要建立一个新的分布式信任范例,取代了失败的单点模型。我们目前正在与一小组有影响力的合作伙伴合作,使将未来推向,并欢迎其他人进入我们的集体努力,”他说。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。