Anzeige
Dell schafft es offenbar nicht, die Probleme in seiner Software Dell Foundation Services in den Griff zu bekommen.
Dell schafft es offenbar nicht, die Probleme in seiner Software Dell Foundation Services in den Griff zu bekommen. (Bild: Wistula, Wikimedia Commons/CC-BY 2.0)

Dell Foundation Services: Dell-Fix macht alles noch schlimmer

Dell schafft es offenbar nicht, die Probleme in seiner Software Dell Foundation Services in den Griff zu bekommen.
Dell schafft es offenbar nicht, die Probleme in seiner Software Dell Foundation Services in den Griff zu bekommen. (Bild: Wistula, Wikimedia Commons/CC-BY 2.0)

Eigentlich sollte sie eine Sicherheitslücke schließen: Mit der neuen Version der Dell Foundation Services können über das Netz Informationen über die Hardware, laufende Prozesse, Metadaten von Dateien und vieles mehr ausgelesen werden.

Dell kommt nicht zur Ruhe: Nach dem Sicherheitsdesaster mit vorinstallierten Zertifikaten stellte sich heraus, dass eine Software namens Dell Foundation Services eine weitere Lücke enthielt, die es Webseiten erlaubte, den Service-Tag auszulesen, ein eindeutiges Identifizierungsmerkmal von Dell-PCs und Laptops. Einer zunächst eher verwirrenden Stellungnahme von Dell folgte die Mitteilung, dass dieses Problem in der Version 3.0.700.0 A00 behoben sei.

Anzeige

Wir haben daraufhin den Entdecker der Service-Tag-Lücke, der nur unter dem Pseudonym Slipstream auftritt, kontaktiert. Slipstream bestätigte uns, dass die ursprüngliche Lücke nicht mehr besteht, allerdings hat Dell offenbar ein neues Problem verursacht, das um einiges gravierender ist. Eine Beschreibung dazu findet man in einem Blogeintrag von Slipstream auf der Webseite LizardHQ.

Ursprünglich war es möglich, über Port 7779 eine JSON-API zu erreichen, die das Auslesen des Service-Tags erlaubte. Diese API nutzte die sogenannte JSONP-Technik, dadurch war ein Auslesen auch durch fremde Webseiten trotz Same Origin Policy möglich. Diese API hat Dell nun ersetzt durch eine SOAP-API. Die lässt sich zwar nicht mehr direkt von Webseiten auslesen, sie ist jedoch öffentlich im Netz erreichbar. Sprich: Wenn ein Dell-Nutzer mit seinem PC direkt ans Internet angeschlossen ist, kann jeder auf diese API zugreifen. Auch in einem lokalen Netzwerk ist sie damit für andere Nutzer abrufbar, etwa in einem öffentlichen WLAN.

Und die neue API gibt offenbar bereitwillig Informationen über den Nutzer preis: Die verwendete Hardware, die installierte Software, laufende Prozesse, angeschlossene Festplatten, Dateinamen und Metadaten von Dateien.

Dell hat offenbar aus einer kleinen Sicherheitslücke eine weit größere gemacht. Der Blogeintrag von Slipstream wiederholt die Empfehlung, die Dell Foundation Services zu entfernen.


eye home zur Startseite
hannob (golem.de) 03. Dez 2015

Es handelte sich bei der ursprünglichen Lücke um eine Schnittstelle, die mittels JSONP...

Bill Carson 03. Dez 2015

frage ich mich manchmal, wie gewisse Menschen an ihren Job gekommen sind...

AllAgainstAds 03. Dez 2015

Dazu müsste man DELL einen Vorsatz nachweisen können. Dell muss sich nur an die immer...

AllAgainstAds 03. Dez 2015

Es ist im allgemeinen aber auch bekannt, das die sogenannte Crapware den Preis der...

Kommentieren



Anzeige

  1. Senior Architect / Senior Entwickler (m/w)
    T-Systems International GmbH, Darmstadt
  2. Lead Ingenieur/-in Getriebesteuerung
    Robert Bosch GmbH, Schwieberdingen
  3. Kodierfachkraft (m/w)
    Isar Kliniken GmbH, München
  4. Senior Training Manager (m/w)
    Fresenius Medical Care Deutschland GmbH, Bad Homburg

Detailsuche



Anzeige
Blu-ray-Angebote
  1. Steelbooks zum Aktionspreis
    (u. a. Game of Thrones Staffeln 1 u. 2 mit Magnetsiegeln für je 21,97€)
  2. VORBESTELLBAR: BÖHSE FÜR'S LEBEN [Blu-ray]
    36,99€
  3. TV-Serien Einstieg auf Blu-ray reduziert
    (u. a. Arrow, Hannibal, The Originals, Banshee, The Big Bang Theory, Silicon Valley)

Weitere Angebote


Folgen Sie uns
       


  1. Alle 20 Minuten

    EU-Kommission erlaubt deutlich mehr Fernsehwerbung

  2. Samsung

    Keine neuen Smartwatches mit Android Wear geplant

  3. Cryorig Ola

    Das Gehäuse, um den Mac Pro selbst zu bauen

  4. Projekt Trust Secure

    Google will mal wieder Passwörter abschaffen

  5. Telekom-Chef

    Konkurrenz soll aufhören zu "jammern"

  6. Android TV

    Google nimmt Nexus Player vom Markt

  7. Solid-State-Drive

    Samsung bringt die SSD 750 Evo nach Deutschland

  8. Xperia X im Hands on

    Sonys vorgetäuschte Oberklasse

  9. Autonomes Fahren

    Ethik-Kommission soll Leitlinien für Algorithmen entwickeln

  10. Keine freie Software

    Cryengine ist öffentlich auf Github verfügbar



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Unternehmens-IT: Von Kabelsalat und längst überfälligen Upgrades
Unternehmens-IT
Von Kabelsalat und längst überfälligen Upgrades
  1. Revive Update hebelt Oculus VRs Kopierschutz aus
  2. LizardFS Software-defined Storage, wie es sein soll
  3. HPE Hyper Converged 380 Kleines System für das schnelle Erstellen von VMs

Googles Neuvorstellungen: Alles nur geklaut?
Googles Neuvorstellungen
Alles nur geklaut?
  1. Google I/O Android Auto wird eine eigenständige App
  2. Jacquard und Soli Google bringt smarte Jacke und verbessert Radar-Chip
  3. Modulares Smartphone Project Ara soll 2017 kommen - nur noch teilweise modular

Cloudready im Test: Ein altes Gerät günstig zum Chromebook machen
Cloudready im Test
Ein altes Gerät günstig zum Chromebook machen
  1. Chrome OS Android-Apps kommen auf Chromebooks
  2. Acer-Portfolio 2016 Vom 200-Hz-Curved-Display bis zum 15-Watt-passiv-Detachable

  1. Re: Werden die 4 Signale über ein DP Kabel getunnelt

    plutoniumsulfat | 14:55

  2. Re: Da hab ich einen Tip für Öttinger

    Koto | 14:55

  3. Re: aufzeichnen mit digitaler...

    Érdna Ldierk | 14:55

  4. Öttinger hilft wirklich

    Dampfplauderer | 14:54

  5. Re: Video on Demand

    Érdna Ldierk | 14:53


  1. 14:42

  2. 14:14

  3. 13:35

  4. 13:15

  5. 13:07

  6. 12:45

  7. 12:30

  8. 12:06


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel