Af Torben B. Sørensen, 11/10/16
Artiklen blev oprindeligt publiceret den 24/11/2015
Flere modeller af pcer fra Dell leveres med et installeret certifikat, der kan misbruges til at opsnappe fortrolig information via et man-in-the-middle-angreb. Dell vil nu fjerne certifikatet.Sårbarheden ligner den i produktet Superfish, som Lenovo tidligere installerede på deres pcer. På Dell-pcerne ligger både rodcertifikatet eDellRoot og den tilhørende private nøgle. Det er samme certifikat og nøgle på alle pcer.
Dermed er det muligt for en angriber at signere falske certifikater med nøglen og få pcen til at have tillid til dem.
Dell udsender i dag en sikkerhedsopdatering, der fjerner certifikatet. Alternativt kan kunder selv downloade og køre opdateringen eller følge Dells anvisninger for, hvordan certifikatet fjernes manuelt.
Certifikatet er installeret som en del af support-applikationen Dell Foundation Services.
Anbefaling
Besøg evt. et test-websted for at afgøre, om eDellRoot er installeret. Følg anvisningerne fra Dell for at fjerne certifikatet.
Links
- Superfish 2.0: Dangerous Certificate on Dell Laptops breaks encrypted HTTPS Connections, blogindlæg af Hanno Böck
- Response to Concerns Regarding eDellroot Certificate, Dell
- Dell: How to kill that web security hole we put in your laptops, PCs, artikel fra The Register
- Check for dangerous eDellRoot certificate
- Security Bug in Dell PCs Shipped Since 8/15, artikel fra Krebs on Security