Abo
  • Services:
Anzeige
Dell schafft es offenbar nicht, die Probleme in seiner Software Dell Foundation Services in den Griff zu bekommen.
Dell schafft es offenbar nicht, die Probleme in seiner Software Dell Foundation Services in den Griff zu bekommen. (Bild: Wistula, Wikimedia Commons/CC-BY 2.0)

Dell Foundation Services: Dell-Fix macht alles noch schlimmer

Dell schafft es offenbar nicht, die Probleme in seiner Software Dell Foundation Services in den Griff zu bekommen.
Dell schafft es offenbar nicht, die Probleme in seiner Software Dell Foundation Services in den Griff zu bekommen. (Bild: Wistula, Wikimedia Commons/CC-BY 2.0)

Eigentlich sollte sie eine Sicherheitslücke schließen: Mit der neuen Version der Dell Foundation Services können über das Netz Informationen über die Hardware, laufende Prozesse, Metadaten von Dateien und vieles mehr ausgelesen werden.

Dell kommt nicht zur Ruhe: Nach dem Sicherheitsdesaster mit vorinstallierten Zertifikaten stellte sich heraus, dass eine Software namens Dell Foundation Services eine weitere Lücke enthielt, die es Webseiten erlaubte, den Service-Tag auszulesen, ein eindeutiges Identifizierungsmerkmal von Dell-PCs und Laptops. Einer zunächst eher verwirrenden Stellungnahme von Dell folgte die Mitteilung, dass dieses Problem in der Version 3.0.700.0 A00 behoben sei.

Anzeige

Wir haben daraufhin den Entdecker der Service-Tag-Lücke, der nur unter dem Pseudonym Slipstream auftritt, kontaktiert. Slipstream bestätigte uns, dass die ursprüngliche Lücke nicht mehr besteht, allerdings hat Dell offenbar ein neues Problem verursacht, das um einiges gravierender ist. Eine Beschreibung dazu findet man in einem Blogeintrag von Slipstream auf der Webseite LizardHQ.

Ursprünglich war es möglich, über Port 7779 eine JSON-API zu erreichen, die das Auslesen des Service-Tags erlaubte. Diese API nutzte die sogenannte JSONP-Technik, dadurch war ein Auslesen auch durch fremde Webseiten trotz Same Origin Policy möglich. Diese API hat Dell nun ersetzt durch eine SOAP-API. Die lässt sich zwar nicht mehr direkt von Webseiten auslesen, sie ist jedoch öffentlich im Netz erreichbar. Sprich: Wenn ein Dell-Nutzer mit seinem PC direkt ans Internet angeschlossen ist, kann jeder auf diese API zugreifen. Auch in einem lokalen Netzwerk ist sie damit für andere Nutzer abrufbar, etwa in einem öffentlichen WLAN.

Und die neue API gibt offenbar bereitwillig Informationen über den Nutzer preis: Die verwendete Hardware, die installierte Software, laufende Prozesse, angeschlossene Festplatten, Dateinamen und Metadaten von Dateien.

Dell hat offenbar aus einer kleinen Sicherheitslücke eine weit größere gemacht. Der Blogeintrag von Slipstream wiederholt die Empfehlung, die Dell Foundation Services zu entfernen.


eye home zur Startseite
hannob (golem.de) 03. Dez 2015

Es handelte sich bei der ursprünglichen Lücke um eine Schnittstelle, die mittels JSONP...

Bill Carson 03. Dez 2015

frage ich mich manchmal, wie gewisse Menschen an ihren Job gekommen sind...

AllAgainstAds 03. Dez 2015

Dazu müsste man DELL einen Vorsatz nachweisen können. Dell muss sich nur an die immer...

AllAgainstAds 03. Dez 2015

Es ist im allgemeinen aber auch bekannt, das die sogenannte Crapware den Preis der...



Anzeige

Stellenmarkt
  1. Nash Direct GmbH, München
  2. Medion AG, Essen
  3. Württembergische Versicherung AG, Stuttgart
  4. Hessischer Rundfunk Anstalt des öffentlichen Rechts, Frankfurt am Main


Anzeige
Blu-ray-Angebote
  1. 29,99€ (Vorbesteller-Preisgarantie)
  2. 29,99€ (Vorbesteller-Preisgarantie)

Folgen Sie uns
       


  1. Ausprobiert

    JPEGmini Pro komprimiert riesige JPEGs um bis zu 80 Prozent

  2. Aufstecksucher für TL2

    Leica warnt vor Leica

  3. Autonomes Fahren

    Continental will beim Kartendienst Here einsteigen

  4. Arduino 101

    Intel stellt auch das letzte Bastler-Board ein

  5. Quartalsbericht

    Microsoft kann Gewinn durch Cloud mehr als verdoppeln

  6. Mobilfunk

    Leistungsfähigkeit der 5G-Luftschnittstelle wird überschätzt

  7. Drogenhandel

    Weltweit größter Darknet-Marktplatz Alphabay ausgehoben

  8. Xcom-2-Erweiterung angespielt

    Untote und unbegrenzte Schussfreigabe

  9. Niantic

    Das erste legendäre Monster schlüpft demnächst in Pokémon Go

  10. Bundestrojaner

    BKA will bald Messengerdienste hacken können



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Tastatur-Kuriosität im Test: Jede Tastatur sollte 34 Display-Tasten haben!
Tastatur-Kuriosität im Test
Jede Tastatur sollte 34 Display-Tasten haben!
  1. Android Tastatur des HTC 10 zeigt Werbung an
  2. Tastaturen Das große ß sucht ein Zuhause
  3. Surface Ergonomische Tastatur im Test Eins werden mit Microsofts Tastatur

Nokia Ozo in der Praxis: Rundum sorglos für 50.000 Euro?
Nokia Ozo in der Praxis
Rundum sorglos für 50.000 Euro?
  1. Patentabkommen Nokia und Xiaomi beschließen Zusammenarbeit
  2. Digital Health Aus Withings wird Nokia
  3. Cardata BMW ermöglicht externen Zugriff auf Fahrzeugdaten

Automatisierte Lagerhäuser: Ein riesiger Nerd-Traum
Automatisierte Lagerhäuser
Ein riesiger Nerd-Traum
  1. Kartellamt Mundt kritisiert individuelle Preise im Onlinehandel
  2. Onlineshopping Ebay bringt bedingte Tiefpreisgarantie nach Deutschland
  3. Regierungspräsidium Docmorris muss Automatenapotheke schließen

  1. Re: Der Telekom ist das egal

    Bashguy | 08:14

  2. Re: Die Forschung verstehe ich nicht ganz.

    Bashguy | 08:11

  3. Re: Nix Neues, wirklich

    Bashguy | 08:08

  4. Re: Luftschnittstelle

    chefin | 08:08

  5. Re: Free to Play mit Gewinn Garantie

    bark | 08:07


  1. 08:03

  2. 07:38

  3. 07:29

  4. 07:20

  5. 23:50

  6. 19:00

  7. 18:52

  8. 18:38


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel