Abo
  • Services:
Anzeige
Dell schafft es offenbar nicht, die Probleme in seiner Software Dell Foundation Services in den Griff zu bekommen.
Dell schafft es offenbar nicht, die Probleme in seiner Software Dell Foundation Services in den Griff zu bekommen. (Bild: Wistula, Wikimedia Commons/CC-BY 2.0)

Dell Foundation Services: Dell-Fix macht alles noch schlimmer

Dell schafft es offenbar nicht, die Probleme in seiner Software Dell Foundation Services in den Griff zu bekommen.
Dell schafft es offenbar nicht, die Probleme in seiner Software Dell Foundation Services in den Griff zu bekommen. (Bild: Wistula, Wikimedia Commons/CC-BY 2.0)

Eigentlich sollte sie eine Sicherheitslücke schließen: Mit der neuen Version der Dell Foundation Services können über das Netz Informationen über die Hardware, laufende Prozesse, Metadaten von Dateien und vieles mehr ausgelesen werden.

Dell kommt nicht zur Ruhe: Nach dem Sicherheitsdesaster mit vorinstallierten Zertifikaten stellte sich heraus, dass eine Software namens Dell Foundation Services eine weitere Lücke enthielt, die es Webseiten erlaubte, den Service-Tag auszulesen, ein eindeutiges Identifizierungsmerkmal von Dell-PCs und Laptops. Einer zunächst eher verwirrenden Stellungnahme von Dell folgte die Mitteilung, dass dieses Problem in der Version 3.0.700.0 A00 behoben sei.

Anzeige

Wir haben daraufhin den Entdecker der Service-Tag-Lücke, der nur unter dem Pseudonym Slipstream auftritt, kontaktiert. Slipstream bestätigte uns, dass die ursprüngliche Lücke nicht mehr besteht, allerdings hat Dell offenbar ein neues Problem verursacht, das um einiges gravierender ist. Eine Beschreibung dazu findet man in einem Blogeintrag von Slipstream auf der Webseite LizardHQ.

Ursprünglich war es möglich, über Port 7779 eine JSON-API zu erreichen, die das Auslesen des Service-Tags erlaubte. Diese API nutzte die sogenannte JSONP-Technik, dadurch war ein Auslesen auch durch fremde Webseiten trotz Same Origin Policy möglich. Diese API hat Dell nun ersetzt durch eine SOAP-API. Die lässt sich zwar nicht mehr direkt von Webseiten auslesen, sie ist jedoch öffentlich im Netz erreichbar. Sprich: Wenn ein Dell-Nutzer mit seinem PC direkt ans Internet angeschlossen ist, kann jeder auf diese API zugreifen. Auch in einem lokalen Netzwerk ist sie damit für andere Nutzer abrufbar, etwa in einem öffentlichen WLAN.

Und die neue API gibt offenbar bereitwillig Informationen über den Nutzer preis: Die verwendete Hardware, die installierte Software, laufende Prozesse, angeschlossene Festplatten, Dateinamen und Metadaten von Dateien.

Dell hat offenbar aus einer kleinen Sicherheitslücke eine weit größere gemacht. Der Blogeintrag von Slipstream wiederholt die Empfehlung, die Dell Foundation Services zu entfernen.


eye home zur Startseite
hannob (golem.de) 03. Dez 2015

Es handelte sich bei der ursprünglichen Lücke um eine Schnittstelle, die mittels JSONP...

Bill Carson 03. Dez 2015

frage ich mich manchmal, wie gewisse Menschen an ihren Job gekommen sind...

AllAgainstAds 03. Dez 2015

Dazu müsste man DELL einen Vorsatz nachweisen können. Dell muss sich nur an die immer...

AllAgainstAds 03. Dez 2015

Es ist im allgemeinen aber auch bekannt, das die sogenannte Crapware den Preis der...



Anzeige

Stellenmarkt
  1. Landeshauptstadt München, München
  2. über Ratbacher GmbH, Köln
  3. MAHLE Powertrain GmbH, Ingolstadt
  4. Daimler AG, Sindelfingen


Anzeige
Hardware-Angebote
  1. 719,00€ + 3,99€ Versand (Vergleichspreis ab 773€)
  2. (reduzierte Überstände, Restposten & Co.)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing


  1. Alternatives Betriebssystem

    Jolla will Sailfish OS auf Sony-Smartphones bringen

  2. Gamesbranche

    PC-Plattform ist bei Spielentwicklern am beliebtesten

  3. Digitale Assistenten

    Google und Amazon kämpfen um Vorherrschaft

  4. Xperia Touch im Hands on

    Projektor macht jeden Tisch Android-tauglich

  5. RetroPie

    Distribution hat keine Rechte mehr am eigenen Namen

  6. Nokia 3310 im Hands on

    Der Nokia-Knochen mit Hipsterpotenzial

  7. Auto

    Macchina M2 bietet Zugriff auf Fahrzeugelektronik

  8. Pro x2 G2

    HPs Surface-Konkurrent bekommt neue Hardware

  9. Security

    Bluetooth-Skimming an der Supermarktkasse

  10. Windows 10 Creators Update

    Optionale Einstellung erlaubt nur noch Apps aus dem Store



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Galaxy-A-Serie vs. P8 Lite (2017): Samsungs und Huaweis Kampf um die Mittelklasse
Galaxy-A-Serie vs. P8 Lite (2017)
Samsungs und Huaweis Kampf um die Mittelklasse
  1. Wettbewerbsverstoß Google soll Tizen behindert haben
  2. Strafverfahren De-facto-Chef von Samsung wegen Korruption verhaftet
  3. Samsung Preisliches Niveau der QLED-Fernseher in der Nähe der OLEDs

Fire TV Stick 2 mit Alexa im Hands on: Amazons attraktiver Einstieg in die Streaming-Welt
Fire TV Stick 2 mit Alexa im Hands on
Amazons attraktiver Einstieg in die Streaming-Welt
  1. Fernsehstreaming Fire-TV-App von Waipu TV bietet alle Kanäle kostenlos
  2. Fire TV Amazon bringt Downloader-App wieder zurück
  3. Amazon Downloader-App aus dem Fire-TV-Store entfernt

Bodyhacking: Ich, einfach unverbesserlich
Bodyhacking
Ich, einfach unverbesserlich

  1. Re: Bargeld lacht

    Tantalus | 15:05

  2. Re: Erstaunlich klarer VR Favorit?

    Dwalinn | 15:03

  3. Re: Bezahlte Leistungen einzufordern und Angebote...

    DAUVersteher | 15:03

  4. Re: Liegeposition

    gadthrawn | 15:02

  5. Newcomer?

    Serenity | 15:01


  1. 14:31

  2. 14:21

  3. 14:16

  4. 13:30

  5. 12:49

  6. 12:02

  7. 12:00

  8. 11:44


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel