Abo
  • IT-Karriere:

Dell Foundation Services: Dell-Fix macht alles noch schlimmer

Eigentlich sollte sie eine Sicherheitslücke schließen: Mit der neuen Version der Dell Foundation Services können über das Netz Informationen über die Hardware, laufende Prozesse, Metadaten von Dateien und vieles mehr ausgelesen werden.

Artikel veröffentlicht am , Hanno Böck
Dell schafft es offenbar nicht, die Probleme in seiner Software Dell Foundation Services in den Griff zu bekommen.
Dell schafft es offenbar nicht, die Probleme in seiner Software Dell Foundation Services in den Griff zu bekommen. (Bild: Wistula, Wikimedia Commons/CC-BY 2.0)

Dell kommt nicht zur Ruhe: Nach dem Sicherheitsdesaster mit vorinstallierten Zertifikaten stellte sich heraus, dass eine Software namens Dell Foundation Services eine weitere Lücke enthielt, die es Webseiten erlaubte, den Service-Tag auszulesen, ein eindeutiges Identifizierungsmerkmal von Dell-PCs und Laptops. Einer zunächst eher verwirrenden Stellungnahme von Dell folgte die Mitteilung, dass dieses Problem in der Version 3.0.700.0 A00 behoben sei.

Stellenmarkt
  1. Eurowings Aviation GmbH, Köln
  2. operational services GmbH & Co. KG, Braunschweig

Wir haben daraufhin den Entdecker der Service-Tag-Lücke, der nur unter dem Pseudonym Slipstream auftritt, kontaktiert. Slipstream bestätigte uns, dass die ursprüngliche Lücke nicht mehr besteht, allerdings hat Dell offenbar ein neues Problem verursacht, das um einiges gravierender ist. Eine Beschreibung dazu findet man in einem Blogeintrag von Slipstream auf der Webseite LizardHQ.

Ursprünglich war es möglich, über Port 7779 eine JSON-API zu erreichen, die das Auslesen des Service-Tags erlaubte. Diese API nutzte die sogenannte JSONP-Technik, dadurch war ein Auslesen auch durch fremde Webseiten trotz Same Origin Policy möglich. Diese API hat Dell nun ersetzt durch eine SOAP-API. Die lässt sich zwar nicht mehr direkt von Webseiten auslesen, sie ist jedoch öffentlich im Netz erreichbar. Sprich: Wenn ein Dell-Nutzer mit seinem PC direkt ans Internet angeschlossen ist, kann jeder auf diese API zugreifen. Auch in einem lokalen Netzwerk ist sie damit für andere Nutzer abrufbar, etwa in einem öffentlichen WLAN.

Und die neue API gibt offenbar bereitwillig Informationen über den Nutzer preis: Die verwendete Hardware, die installierte Software, laufende Prozesse, angeschlossene Festplatten, Dateinamen und Metadaten von Dateien.

Dell hat offenbar aus einer kleinen Sicherheitslücke eine weit größere gemacht. Der Blogeintrag von Slipstream wiederholt die Empfehlung, die Dell Foundation Services zu entfernen.



Anzeige
Spiele-Angebote
  1. 2,99€
  2. (-77%) 13,99€
  3. 2,99€
  4. 3,99€

hannob (golem.de) 03. Dez 2015

Es handelte sich bei der ursprünglichen Lücke um eine Schnittstelle, die mittels JSONP...

Bill Carson 03. Dez 2015

frage ich mich manchmal, wie gewisse Menschen an ihren Job gekommen sind...

AllAgainstAds 03. Dez 2015

Dazu müsste man DELL einen Vorsatz nachweisen können. Dell muss sich nur an die immer...

AllAgainstAds 03. Dez 2015

Es ist im allgemeinen aber auch bekannt, das die sogenannte Crapware den Preis der...


Folgen Sie uns
       


Asrock DeskMini A300 - Test

Der DeskMini A300 von Asrock ist ein Mini-PC mit weniger als zwei Litern Volumen. Der kleine Rechner basiert auf einer Platine mit Sockel AM4 und eignet sich daher für Raven-Ridge-Chips wie den Athlon 200GE oder den Ryzen 5 2400G.

Asrock DeskMini A300 - Test Video aufrufen
Black Mirror Staffel 5: Der Gesellschaft den Spiegel vorhalten
Black Mirror Staffel 5
Der Gesellschaft den Spiegel vorhalten

Black Mirror zeigt in der neuen Staffel noch alltagsnäher als bisher, wie heutige Technologien das Leben in der Zukunft katastrophal auf den Kopf stellen könnten. Dabei greift die Serie auch aktuelle Diskussionen auf und zeigt mitunter, was bereits im heutigen Alltag schiefläuft - ein Meisterwerk! Achtung, Spoiler!
Eine Rezension von Tobias Költzsch

  1. Streaming Netflix testet an Instagram erinnernden News-Feed
  2. Start von Disney+ Netflix wird nicht dauerhaft alle Disney-Inhalte verlieren
  3. Videostreaming Netflix will Zuschauerzahlen nicht länger geheim halten

Nuki Smart Lock 2.0 im Test: Tolles Aufsatzschloss hat Software-Schwächen
Nuki Smart Lock 2.0 im Test
Tolles Aufsatzschloss hat Software-Schwächen

Mit dem Smart Lock 2.0 macht Nuki Türschlösser schlauer und Türen bequemer. Kritisierte Sicherheitsprobleme sind beseitigt worden, aber die Software zeigt noch immer Schwächen.
Ein Test von Ingo Pakalski


    5G-Auktion: Warum der Preis der 5G-Frequenzen so hoch war
    5G-Auktion
    Warum der Preis der 5G-Frequenzen so hoch war

    Dass die Frequenzen für den 5G-Mobilfunk teuer wurden, lasten Telekom, Vodafone und Telefónica dem Newcomer United Internet an. Doch dies ist laut dem Netzplaner Kai Seim nicht so gewesen.
    Eine Analyse von Achim Sawall

    1. Funklöcher Hohe Bußgelder gegen säumige Mobilfunknetzbetreiber
    2. Bundesnetzagentur 5G-Frequenzauktion erreicht 6,5 Milliarden Euro
    3. 5G-Auktion Etablierte wollen Preis für 1&1 Drillisch hochtreiben

      •  /