当前位置: 首页>>夜色邦网站 >>安全证书问题困扰戴尔

安全证书问题困扰戴尔

添加时间:    


戴尔本周早些时候宣布,它已收到与8月18日开始在计算机系统上安装的证书相关的安全漏洞通知。

eDellroot证书由Dell Foundation Services应用程序安装,作为帮助用户更轻松的一种方法在他们的计算机上执行维护和服务任务,公司说。根据戴尔的说法,这个证书不是恶意软件或广告软件。相反,它提供了一个旨在为戴尔在线支持提供系统服务标签的下载,这将允许快速识别单个设备的计算机型号。戴尔发言人Christina Maria Furtado表示:“不幸的是,这个证书引入了客户使用的消费者和商业系统的非安全漏洞。

她在11月20日和11月23日在工厂的一些新系统上添加了证书,她告诉TechNewsWorld,公司计划推动软件更新以摆脱这些系统上的问题。

Dell在其网站上发布了永久删除证书的说明,并且还补充说,它会发布一个软件更新来自动检查证书,如果发现,将其从受影响的系统中删除。戴尔公司表示,没有戴尔基金会服务的商业客户对其系统进行重新映像并没有受到这个缺陷的影响。

戴尔公开表示感谢三位带给他们注意缺陷的用户:Hanno Bock,Joe Nord和Kevin Hicks,又名“rotocowboy”。

上个月末,戴尔Inspiron 5000系列笔记本电脑上周末,Nord首先发现了这个缺陷。

戴尔的证书问题类似于今年早些时候袭击联想系统的Superfish型漏洞。

在这个事件中,联想预装了一种基本上允许用户绕过HTTPS安全的间谍软件。

GreatHorn公司创始人兼首席执行官Kevin O'Brien表示:“这里的核心问题是这些机器附带的证书包括自己的私钥。

这种安全漏洞的危险在于攻击者可以在不知情的情况下拦截和解密Web流量。他告诉TechNewsWorld,任何拥有证书的机器都是潜在的目标。

戴尔案例可能是由于疏忽导致的,O'Brien表示,但戴尔及其客户仍然表示需要非常快速的回应。戴尔通常是一个负责任的供应商,我希望看到他们在短期内通过解决这个问题,并且通过增加他们的安全审查流程来解决这个问题。“他补充道,”理想情况是通过更多的自动化分析所有潜在的威胁表面“。

诺基亚公司数据开发副总裁Andrew Lewman指出,戴尔的安全漏洞导致在意外和非常脆弱的地方出现虚假证书。他告诉TechNewsWorld:“那里已经有eDellRoot认证机构签名的伪造Google证书了。 “这可能意味着,当登录到银行,安全的合法门户,Gmail等,罪犯可以轻松获取输入到桌面或笔记本电脑浏览器的用户名和密码,看到浏览器和服务器之间的所有流量。

Lewman说,作为安全问题,企业应该在网络和个人设备上封锁戴尔的认证机构。

LogicNow的安全主管伊恩·特朗普(Ian Trump)表示,戴尔至少应该受到表彰,不要试图否认这个缺陷。戴尔在接受TechNewsWorld采访时表示,戴尔所做的并不是恶意或故意的行为,公司显然正在尽一切可能对这一过程保持透明。特朗普说:“看到厂商采用技术来保护通信和认证信息是令人鼓舞的。 “问题是,密码学很难 - 如果网络技能供应不足,编程安全和加密通信方面的专家就更难找到。”

编者的话:戴尔急于解决eDellroot证书问题,第二个证书问题的消息浮出水面 星期三。可选的Dell System Detect应用程序及其DSDTestProvider根证书具有与eDellRoot类似的特征,公司认可。戴尔系统检测漏洞影响了在10月20日至11月24日在戴尔支持网站上使用“检测产品”功能的客户。戴尔周二取消了该应用程序,取而代之的是没有问题证书的版本。

* ECT新闻网络编者的话 - 2015年11月30日:我们最初发表的这个故事版本错误地将LogicNow的伊恩·特朗普(Ian Trump)认定为伊恩·史密斯(Ian Smith)。我们对这个错误感到遗憾。

David Jones 是一位自由撰稿人,总部设在新泽西州埃塞克斯县。他曾为路透社,彭博社, Crain的纽约商业纽约时报

随机推荐

网站导航 福利地图