Abo
  • Services:
Anzeige
Dell schafft es offenbar nicht, die Probleme in seiner Software Dell Foundation Services in den Griff zu bekommen.
Dell schafft es offenbar nicht, die Probleme in seiner Software Dell Foundation Services in den Griff zu bekommen. (Bild: Wistula, Wikimedia Commons/CC-BY 2.0)

Dell Foundation Services: Dell-Fix macht alles noch schlimmer

Dell schafft es offenbar nicht, die Probleme in seiner Software Dell Foundation Services in den Griff zu bekommen.
Dell schafft es offenbar nicht, die Probleme in seiner Software Dell Foundation Services in den Griff zu bekommen. (Bild: Wistula, Wikimedia Commons/CC-BY 2.0)

Eigentlich sollte sie eine Sicherheitslücke schließen: Mit der neuen Version der Dell Foundation Services können über das Netz Informationen über die Hardware, laufende Prozesse, Metadaten von Dateien und vieles mehr ausgelesen werden.

Dell kommt nicht zur Ruhe: Nach dem Sicherheitsdesaster mit vorinstallierten Zertifikaten stellte sich heraus, dass eine Software namens Dell Foundation Services eine weitere Lücke enthielt, die es Webseiten erlaubte, den Service-Tag auszulesen, ein eindeutiges Identifizierungsmerkmal von Dell-PCs und Laptops. Einer zunächst eher verwirrenden Stellungnahme von Dell folgte die Mitteilung, dass dieses Problem in der Version 3.0.700.0 A00 behoben sei.

Anzeige

Wir haben daraufhin den Entdecker der Service-Tag-Lücke, der nur unter dem Pseudonym Slipstream auftritt, kontaktiert. Slipstream bestätigte uns, dass die ursprüngliche Lücke nicht mehr besteht, allerdings hat Dell offenbar ein neues Problem verursacht, das um einiges gravierender ist. Eine Beschreibung dazu findet man in einem Blogeintrag von Slipstream auf der Webseite LizardHQ.

Ursprünglich war es möglich, über Port 7779 eine JSON-API zu erreichen, die das Auslesen des Service-Tags erlaubte. Diese API nutzte die sogenannte JSONP-Technik, dadurch war ein Auslesen auch durch fremde Webseiten trotz Same Origin Policy möglich. Diese API hat Dell nun ersetzt durch eine SOAP-API. Die lässt sich zwar nicht mehr direkt von Webseiten auslesen, sie ist jedoch öffentlich im Netz erreichbar. Sprich: Wenn ein Dell-Nutzer mit seinem PC direkt ans Internet angeschlossen ist, kann jeder auf diese API zugreifen. Auch in einem lokalen Netzwerk ist sie damit für andere Nutzer abrufbar, etwa in einem öffentlichen WLAN.

Und die neue API gibt offenbar bereitwillig Informationen über den Nutzer preis: Die verwendete Hardware, die installierte Software, laufende Prozesse, angeschlossene Festplatten, Dateinamen und Metadaten von Dateien.

Dell hat offenbar aus einer kleinen Sicherheitslücke eine weit größere gemacht. Der Blogeintrag von Slipstream wiederholt die Empfehlung, die Dell Foundation Services zu entfernen.


eye home zur Startseite
hannob (golem.de) 03. Dez 2015

Es handelte sich bei der ursprünglichen Lücke um eine Schnittstelle, die mittels JSONP...

Bill Carson 03. Dez 2015

frage ich mich manchmal, wie gewisse Menschen an ihren Job gekommen sind...

AllAgainstAds 03. Dez 2015

Dazu müsste man DELL einen Vorsatz nachweisen können. Dell muss sich nur an die immer...

AllAgainstAds 03. Dez 2015

Es ist im allgemeinen aber auch bekannt, das die sogenannte Crapware den Preis der...



Anzeige

Stellenmarkt
  1. Bittner + Krull Softwaresysteme GmbH, München
  2. Endress+Hauser Flowtec AG, Reinach (Schweiz)
  3. Technische Universität Darmstadt, Darmstadt
  4. über Hays AG, Mannheim


Anzeige
Top-Angebote
  1. 315,00€
  2. (heute u. a. PC- und Konsolenspiele reduziert, Sandisk-Speicherprodukte, Logitech-Produkte...

Folgen Sie uns
       


  1. Deutsche Telekom

    Weitere 39.000 Haushalte bekommen heute Vectoring

  2. Musikerkennungsdienst

    Apple erwirbt Shazam

  3. FTTH

    EWE senkt die Preise für seine Glasfaserzugänge

  4. WLAN

    Zahl der Vodafone-Hotspots steigt auf zwei Millionen

  5. Linux-Grafiktreiber

    Mesa 17.3 verbessert Vulkan- und Embedded-Treiber

  6. Gemini Lake

    Intel bringt Pentium Silver mit Gigabit-WLAN

  7. MG07ACA

    Toshiba packt neun Platter in seine erste 14-TByte-HDD

  8. Sysinternals-Werkzeug

    Microsoft stellt Procdump für Linux vor

  9. Forschungsförderung

    Medizin-Nobelpreisträger Rosbash kritisiert Trump

  10. Sicherheit

    Keylogger in HP-Notebooks gefunden



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Umrüstung: Wie der Elektromotor in den Diesel-Lkw kommt
Umrüstung
Wie der Elektromotor in den Diesel-Lkw kommt
  1. Uniti One Schwedisches Unternehmen Uniti stellt erstes Elektroauto vor
  2. LEVC London bekommt Elektrotaxis mit Range Extender
  3. Vehicle-to-Grid Honda macht Elektroautos zu Stromnetz-Puffern

China: Die AAA-Bürger
China
Die AAA-Bürger
  1. Microsoft Supreme Court entscheidet über die Zukunft der Cloud

Watch Series 3 im Praxistest: So hätte Apples erste Smartwatch sein müssen
Watch Series 3 im Praxistest
So hätte Apples erste Smartwatch sein müssen
  1. Apple Watch Apple veröffentlicht WatchOS 4.2
  2. Alivecor Kardiaband Uhrenarmband für Apple Watch zeichnet EKG auf
  3. Smartwatch Die Apple Watch lieber nicht nach dem Wetter fragen

  1. Re: Zielgerichtete Forschung benötigt keine...

    Ach | 03:10

  2. Shazam bleib wie du bist :)

    Spawn182 | 03:06

  3. Re: Bravo zur Entscheidung von Birkernstock

    jacki | 02:34

  4. Re: was steckt dahinter?

    Squirrelchen | 02:19

  5. Finanz- und nicht Technikorientiert

    jude | 02:05


  1. 19:10

  2. 18:55

  3. 17:21

  4. 15:57

  5. 15:20

  6. 15:00

  7. 14:46

  8. 13:30


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel