Superfish

Der PC-Hersteller rät zur Deinstallation des Lenovo Solution Centre. (Bild: Acid Pix) (Acid Pix)

Lenovo Solution Centre: Sicherheitslücke in vorinstalliertem Lenovo-Tool

Über eine Sicherheitslücke im Lenovo Solution Centre lassen sich die Rechte eines Nutzers oder einer Schadsoftware ausweiten. Lenovo wird die Lücke nicht schließen und rät zur Deinstallation - dabei hat der Hersteller mehrfach das Supportende geändert.

2 Kommentare

Der Superfish-Vorfall begleitet Lenovo schon fast drei Jahre. (Bild: Pixabay.com/Montage: Golem.de) (Pixabay.com/Montage: Golem.de)

Superfish: Für Adware muss Lenovo 7,3 Millionen US-Dollar zahlen

Der Skandal um die Adware von Superfish kostet Lenovo noch einmal 7,3 Millionen Dollar. Die Software unterwanderte Sicherheitsmechanismen von Nutzern und ermöglichte Man-in-the-Middle-Angriffe. Lenovo sieht den Fehler noch immer nicht ganz ein, sei aber froh, dass die Sache geklärt sei.

3 Kommentare

Neues aus der Golem Karrierewelt(öffnet im neuen Fenster)

Workshops und Weiterbildungen: Der ultimative Python-Grundkurs im E-Learning-Format

zum Artikel

Karriere Ratgeber: Digital Omnibus: Europas schleichender Abschied vom Datenschutz

zum Ratgeber

Seminar: C# Applikationen in der Cloud bringen – mit Azure: virtueller Ein-Tages-Workshop

zum Kurs

E-Learning: Excel at a glance: basics to automation (E-learning in English)

zum Kurs

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)

Angular Developer (m/w/d) mit Frontend Fokus PX Consulting GmbH, Homeoffice,Home Office (öffnet im neuen Fenster)

IT-Systemadministrator/-in Kommunikationstechnik / Netzwerke (m/w/d) ITK Rheinland, Neuss (öffnet im neuen Fenster)

Fachinformatiker für Systemintegration (m/w/d) / IT-Support Steuerring e.V., Darmstadt (öffnet im neuen Fenster)

IT Business Partner (m/w/d) Lürssen Werft Bremen GmbH & Co. KG, Lemwerder (öffnet im neuen Fenster)

Ausbildung Verfahrensmechaniker/-in für Beschichtungstechnik (m/w/d) Hörmann Deutschland, Steinhagen (öffnet im neuen Fenster)

Leitung IT (m/w/d) Solupharm Pharmazeutische Erzeugnisse GmbH, Melsungen (öffnet im neuen Fenster)

Mitarbeiter IT Helpdesk / First Level Support (m/w/d) für Wesel RZH Rechenzentrum für Heilberufe GmbH, Wesel (öffnet im neuen Fenster)

IT-Koordination / IT-Entwicklung (KI) Projekt (m/w/d) - KISEFEE Bibliotheksservice-Zentrums Baden-Württemberg (BSZ), Konstanz (öffnet im neuen Fenster)

Das besondere elektronische Anwaltspostfach soll ab Januar verpflichtend von Anwälten genutzt werden - doch es kommt mit Sicherheitsproblemen. (Bild: Bundesrechtsanwaltskammer) (Bundesrechtsanwaltskammer)

BeA: Bundesrechtsanwaltskammer verteilt HTTPS-Hintertüre

Im Rahmen des besonderen elektronischen Anwaltspostfachs (BeA) forderte die Bundesrechtsanwaltskammer ihre Mitglieder dazu auf, ein Root-Zertifikat zu installieren, zu dem der private Schlüssel öffentlich ist. Ein gravierendes Sicherheitsrisiko, das die Funktion von HTTPS aushebelt.

79 Kommentare / Von Hanno Böck

Audio-Equipment braucht eigentlich kein Root-Zertifikat. (Bild: nate hill, flickr.com) (nate hill, flickr.com)

Savitech: USB-Audiotreiber installiert Root-Zertifikat

Ein Treiber von Savitech installiert Root-Zertifikate in Windows, mit denen theoretisch HTTPS-Verbindungen angegriffen werden können. Genutzt wird der USB-Audiotreiber in Geräten von Asus, Dell oder auch Audio-Technica. Die Zertifikate waren für Windows XP gedacht und wurden vergessen.

13 Kommentare

Lenovo sieht die Beschwerden über Superfish immer noch nicht vollständig ein. (Bild: Elma/Wikimedia Commons) (Elma/Wikimedia Commons)

Adware: Lenovo zahlt Millionenstrafe wegen Superfish

Weil das Unternehmen Adware auf den Rechnern der Nutzer installiert hat, muss Lenovo eine Strafe zahlen und 20 Jahre lang ein umfangreiches Sicherheitsprogramm für vorinstallierte Software nachweisen.

29 Kommentare

Full Visibility into SSL Traffic - mit solchen Features werben viele Produkte. Oft birgt das schwerwiegende Sicherheitsrisiken. (Bild: Black Hat 2015/Hanno Böck) (Black Hat 2015/Hanno Böck)

HTTPS-Interception: Sicherheitsprodukte gefährden HTTPS

Zahlreiche Sicherheitsprodukte erlauben es, mittels lokal installierter Root-Zertifikate HTTPS-Verbindungen aufzubrechen. In einer Untersuchung sorgten alle getesteten Produkte für weniger Sicherheit. In vielen Fällen gibt es katastrophale Sicherheitslücken.

22 Kommentare / Von Hanno Böck

Eine solche Fehlermeldung erhielten Kaspersky-Nutzer manchmal - weil die Software Zertifikate mit einem 32-Bit-Hash in einem Cache ablegte. (Bild: Screenshot Hanno Böck) (Screenshot Hanno Böck)

Sicherheitslücke: Kaspersky schlampt bei TLS-Zertifikatsprüfung

Die Antivirensoftware von Kaspersky liest bei TLS-Verbindungen mit und sorgt nebenbei dafür, dass die Zertifikatsprüfung ausgehebelt wird. Wieder einmal konnte Tavis Ormandy von Google damit zeigen, wie löchrig sogenannte Sicherheitssoftware ist.

19 Kommentare

Android Nougat ändert einiges beim Thema Sicherheit. (Bild: Google) (Google)

Android Nougat: Google will vor Ransomware und Zertifikatsspionage schützen

In der kommenden Android-Version will Google mit einer umstrittenen Maßnahme verhindern, dass verschlüsselte Daten von Angreifern mitgelesen werden. Außerdem soll das Betriebssystem vor Erpressungstrojanern schützen.

18 Kommentare / Von Hauke Gierow

Seminar: LPIC-1 Vorbereitungskurs LPI 101 und LPI 102: virtueller Fünf-Tage-Workshop

zum Kurs

Seminar: Grundlagen der Barrierefreiheit im Web: virtueller Zwei-Tage-Workshop

zum Kurs

Seminar: Linux-Systemadministration Grundlagen: virtueller Fünf-Tage-Workshop

zum Kurs

Seminar: LDAP Identitätsmanagement Fundamentals: virtueller Drei-Tage-Workshop

zum Kurs

Unsere Testgeräte im Überblick (Bild: Martin Wolf/Golem.de) (Martin Wolf/Golem.de)

Privacy-Boxen im Test: Trügerische Privatheit

Der Wunsch nach Privatsphäre ist bei vielen Nutzern groß, Privacy-Boxen sollen dabei helfen. Wir haben uns vier aktuelle Modelle angeschaut - und sind nur von einem Gerät überzeugt.

93 Kommentare / Von Hauke Gierow

Lenovos Shareit-App hat es mit der Sicherheit nicht so genau genommen. (Bild: Screenshot:Golem.de) (Screenshot:Golem.de)

12345678: Lenovos Shareit-App verwendet unsicheres Standardkennwort

Lenovos Chef kündigte zwar im Interview vor einigen Wochen an, künftig sichere Software einsetzen zu wollen - im Fall eines Programms zur Dateiübertragung funktioniert das jedoch noch nicht besonders gut.

14 Kommentare

Lenovo-Chef Yang Yuanqing kritisiert Microsofts Update-Politik. (Bild: ChinaFotoPress/Getty Images) (ChinaFotoPress/Getty Images)

Lenovo-Chef kritisiert Microsoft: "Das kostenfreie Windows-10-Update war ein Fehler"

Lenovos Chef ist kein Fan von Microsofts kostenfreiem Windows-10-Update. Dem Softwareunternehmen sei es damit nicht gelungen, den PC-Markt wiederzubeleben. Um dennoch auf diesem Markt aktiv zu bleiben, will Lenovo auf Convertibles setzen - und sichere Software programmieren.

289 Kommentare

Schon wieder Ärger mit Zertifikaten auf Lenovo-Laptops (Bild: Bfishadow/Flickr) (Bfishadow/Flickr)

Lenovo/CSR: Bluetooth-Treiber installiert Root-Zertifikat

Ein Bluetooth-Treiber für Chips der Firma CSR installiert zwei Root-Zertifikate, mit denen der Besitzer des privaten Schlüssels HTTPS-Verbindungen angreifen könnte. Offenbar handelt es sich um Testzertifikate zur Treibersignierung während der Entwicklung.

4 Kommentare

Die HTTPS-Verbindungen von Dell-Nutzern sind nicht sicher - ein Root-Zertifikat erlaubt Angreifern Man-in-the-Middle-Angriffe. (Bild: Jjpwiki/Wikimedia Commons) (Jjpwiki/Wikimedia Commons)

Gefährliches Root-Zertifikat: HTTPS-Verschlüsselung von Dell-Nutzern gefährdet

Update Ein auf aktuellen Dell-Laptops vorinstalliertes Root-Zertifikat ermöglicht es Angreifern, nach Belieben HTTPS-Verbindungen mitzulesen. Eine fast identische Sicherheitslücke, verursacht durch das Programm Superfish, betraf vor einigen Monaten Lenovo-Laptops.

64 Kommentare

Lenovo-Überwachungssoftware auf Thinkpad, Thinkstation und Thinkcentre (Bild: Sean Gallup/Getty Images) (Sean Gallup/Getty Images)

Security: Lenovo sammelt seit fast einem Jahr Nutzerdaten

Ein dritter Fall von fraglichem Umgang mit Nutzerdaten ist bei Lenovo bekanntgeworden. Auf Geräten der Thinkpad-, Thinkcentre- und Thinkstation-Modellreihen kann sich Lenovo-Software befinden, die seit fast einem Jahr das Nutzerverhalten beobachtet.

49 Kommentare

Der VC20 sollte besonders einsteigerfreundlich sein. (Bild: Public Domain / Montage: Golem.de) (Public Domain / Montage: Golem.de)

Podcast Besser Wissen: Volkscomputer - der erste Millionär

Auch eine Strickanleitung ist eine Art Algorithmus. (Bild: Pixabay / Montage: Golem.de) (Pixabay / Montage: Golem.de)

Podcast Besser Wissen: Wie geht Informatik für die moderne Hausfrau?

Der K.I.T.T. von Andreas sieht sehr originalgetreu aus. (Bild: Martin Wolf/Golem.de) (Martin Wolf/Golem.de)

Podcast Besser Wissen: Der eigene K.I.T.T.

Podcast Besser Wissen: Wie man freie Software betreut

Nicht immer wird man beim Berufseinstieg mitgenommen. (Bild: Public Domain / Montage: Golem.de) (Public Domain / Montage: Golem.de)

Podcast Besser Wissen: Per Anhalter durch die IT-Branche

Von BNC zu RJ45 - auch die populären Stecker haben sich geändert. (Bild: Martin Wolf/Golem.de) (Martin Wolf/Golem.de)

Podcast Besser Wissen: Von Funk bis Netz in Österreich

Lenovos Service Engine lädt Software aus dem Bios bei einer Neuinstallation von Windows nach. (Bild: Lenovo) (Lenovo)

Security: Lenovos sanktioniertes Rootkit

Nach einer kompletten Neuinstallation von Windows auf einem Lenovo-Laptop wurde zur Überraschung eines Anwenders plötzlich auch ein Lenovo-Dienst gestartet. Er vermutete eine Art Bios-Rootkit und lag damit offenbar gar nicht so falsch.

135 Kommentare

Auf einigen Samsung-Laptops wurde das automatische Windows-Update unterdrückt. (Bild: Samsung) (Samsung)

Sicherheitsrisiko: Samsung will automatische Windows-Updates wieder zulassen

Offenbar hat Samsung ein Einsehen: Die Blockade der automatischen Windows-Updates auf den Laptops des Herstellers soll aufgehoben werden. Das Samsung-Tool SW Update verhinderte auf einigen Rechnern die automatische Aktualisierung.

32 Kommentare

Samsung hat scheinbar aus dem Superfish-Debakel um Lenovo wenig gelernt. (Bild: Summ/Wikimedia Commons/CC by-sa 3.0) (Summ/Wikimedia Commons/CC by-sa 3.0)

Bloatware: Samsung deaktiviert Sicherheitsupdates von Windows

Update Nach Superfish das nächste Debakel mit vorinstallierter Software auf Windows-Laptops: Samsung liefert auf seinen Geräten ein Tool mit, das die automatische Update-Funktion von Windows deaktiviert.

117 Kommentare

"Der Computer ist sicher" vermeldet Kaspersky - und öffnet die FREAK-Sicherheitslücke für Online-Banking-Seiten. (Bild: Screenshot) (Screenshot)

HTTPS: Kaspersky ermöglicht Freak-Angriff

Verschiedene Antiviren-Programme enthalten Features, um verschlüsselte HTTPS-Verbindungen zu scannen. Dabei gefährden sie die Sicherheit der Verschlüsselung. Besonders drastisch: In der aktuellen Version von Kaspersky ist die Freak-Sicherheitslücke noch nicht geschlossen.

28 Kommentare

Golem.de-Wochenrückblick (Bild: Martin Wolf/Golem.de) (Martin Wolf/Golem.de)

Die Woche im Video: Abenteurer, Adware und ein fixer Anschluss

Golem-Wochenrückblick Sicherheitsexperten haben in dieser Woche über Adware debattiert, wir haben das schnelle USB 3.1 getestet und am 1. März soll das riesige Solarflugzeug Solar Impulse 2 zu seiner Weltumrundung starten: sieben Tage, viele Meldungen - und ein guter Überblick.

10 Kommentare

Privdog behauptet, die Privatsphäre zu schützen. Dabei sendet es umfangreich Daten nach Hause. (Bild: Screenshot / Hanno Böck) (Screenshot / Hanno Böck)

Privatsphäre: Privdog schickt Daten unverschlüsselt nach Hause

Die Software Privdog hat noch mehr Sicherheitsprobleme als bislang bekannt. Das Programm, das auch von Comodo ausgeliefert wird, schickt sämtliche Webseiten-URLs, die ein Nutzer besucht, unverschlüsselt an den Hersteller.

4 Kommentare

Die Hackergruppe Lizard Squad hatte kurzzeitig die Lenovo-Domain übernommen. (Bild: Screenshot Golem.de) (Screenshot Golem.de)

Superfish-Affäre: Lizard Squad hackt Lenovo-Domain

Die Webseiten unter der Domain Lenovo.com waren vorübergehend unter der Kontrolle der Hackergruppe Lizard Squad. Sie griff offenbar auch E-Mails ab. Es soll sich um Vergeltung für die von Lenovo eingesetzte Adware Superfish handeln.

41 Kommentare

PrivDog ersetzt Zertifikate - und gefährdet die Sicherheit des Nutzers. (Bild: Screenshot / Webseite) (Screenshot / Webseite)

Privdog: Software hebelt HTTPS-Sicherheit aus

Update Die Software Privdog hebelt ähnlich wie Superfish den Schutz von HTTPS komplett aus. Pikant daran: Privdog wurde von Comodo beworben, einer der größten Zertifizierungsstellen für TLS-Zertifikate.

36 Kommentare

SSL Digestor - eine gefährliche Technologie, die in vielen Programmen zum Einsatz kommt. (Bild: Komodia / Screenshot) (Komodia / Screenshot)

Superfish: Das Adware-Imperium von Komodia

Die SSL-Interception-Technologie von Komodia wird auch von zahlreichen anderen Programmen verwendet. Außer in der Superfish-Adware findet sie sich in Trojanern, weiterer Adware und sogar in einem Anti-Adware-Tool von Lavasoft.

28 Kommentare

Superfish-Adware sorgt weiter für Aufruhr. (Bild: Elma/Wikimedia Commons/CC BY 2.0) (Elma/Wikimedia Commons/CC BY 2.0)

Adware: Superfish-Chef bestreitet Sicherheitsrisiko

In der Affäre um die Adware Superfish leugnet deren Chef nun, dass sie ein Sicherheitsrisiko darstellt. Unterdessen gibt es von Lenovo ein Tool, um das Programm zu entfernen.

80 Kommentare

Golem.de-Wochenrückblick (Bild: Daniel Pook/Golem.de) (Daniel Pook/Golem.de)

Die Woche im Video: Ein Spionagering, Marskandidaten und Linux für den Desktop

Golem-Wochenrückblick Sieben Tage, viele Meldungen - und ein guter Überblick: Im Video-Wochenrückblick fassen wir jeden Samstag die wichtigsten Ereignisse der Woche zusammen.

3 Kommentare

"Ihre Sicherheit im digitalen Dschungel" verspricht diese Software - dabei ist sie selbst ein Sicherheitsrisiko. (Bild: Kurupira/Screenshot: Golem.de) (Kurupira/Screenshot: Golem.de)

Komodia-Filter: Superfish-Affäre weitet sich aus

Nicht nur Lenovo ist betroffen: Die Technologie von Superfish, die die Sicherheit von HTTPS-Verbindungen auf Lenovo-Laptops gefährdet, kommt auch in diversen Jugendschutzfilterprodukten zum Einsatz. Lenovo leugnete zunächst, dass es überhaupt ein Problem gibt.

37 Kommentare

Kurse

Podcast Besser Wissen