Alvorligt sikkerhedshul i præinstalleret software gør størstedelen af Dell-computere sårbare

Illustration: Andrey Khokhlov/Bigstock
Et kritisk sikkerhedshul i det præinstallerede Dell SupportAssist-software kan udnyttes til remote code execution. Størstedelen af Dell-computere antages at være sårbare.

Dell-computere med den præinstallerede Dell SupportAssist er sårbare. Programmet indeholder en kritisk remote code execution-sårbarhed, som kan udnyttes af hackere. Desværre har langt de fleste Dell-computere programmet. Det skriver The Hacker News

Dell SupportAssist, tidligere kendt som Dell System Detect, er præinstalleret på størstedelen af Dell-computere. Programmet interagerer med hjemmesiden for Dell Support og er designet til at overvåge computerens software og hardware. Programmet skal blandt andet tjekke for driveropdateringer og gennemføre hardwarediagnostik.

Bill Demirkapi, en 17-årig uafhængig sikkerhedsforsker opdagede sikkerhedshullet ved et tilfælde, da han skulle købe sig en ny bærbar.

Dell SupportAssist kører i baggrunden af en webserver på computerens port 8884, 8883, 8886, eller 8885. Denne tjeneste accepterer diverse kommandoer som URL-parametre og udfører opgaver på computeren som for eksempel at indhente systeminformation eller downloade software fra en server og installere den på computeren – eksempelvis driver-opdateringer.

Egentlig skulle computeren være beskyttet, eksempelvis ved, at Dell SupportAssist kun skulle modtage kommandoer fra dell.com-hjemmesiden eller underdomæner. Bill Demirkapis demonstration viser, hvordan de kan omgås – så sikkerhedsforanstaltningerne har tilsyneladende været utilstrækkelige. Det er muligt at bruge sikkerhedshullet til at installere malware fra en remote server og tage kontrol over computeren.

Dell-brugere anbefales at installere den opdaterede Dell SupportAssist 3.2.0.90 eller en senere udgave. En mulighed er også at afinstallere Dell SupportAssist

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (3)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Hans Nielsen

Og sikkert en helt masse som vi ikke kender til.

Værdien af de data som producenterne indsamler om deres brugere, må være meget mere værd end deres kunder, eller måske snare mangle på dem. Hvis de fravælger at købe ved samme producent igen.

Hvorfor skal producenter have lov til at lave hvert deres egen eledige løsninger, på et microsoft problem.

Problemmer er heldigvis løst, hvis vi ikke snakker bios, ved installation af OS som linux, hvor driver og andre programmer håndteres sikkert og nemt.

  • 2
  • 3
Michael Cederberg

Værdien af de data som producenterne indsamler om deres brugere, må være meget mere værd end deres kunder, eller måske snare mangle på dem. Hvis de fravælger at købe ved samme producent igen.

Det her er lavet for at gøre det nemt for brugere at opdatere deres systemer. Hvad information Dell måtte indsamle ryger ikke gennem dette interface. Det er således et system for at gøre opdateringer brugervenlige som giver problemer ... det er set før at det er brugervenligheden der giver problemer.

Hvorfor skal producenter have lov til at lave hvert deres egen eledige løsninger, på et microsoft problem.

Problemmer er heldigvis løst, hvis vi ikke snakker bios, ved installation af OS som linux, hvor driver og andre programmer håndteres sikkert og nemt.

Linux har en centralistisk driver model. Det synes at virke for den relativt begrænsede mængde at drivere som Linux understøtter (i forhold til Windows). Men at forestille sig at den model skulle skalere til at kunne håndtere lige så mange drivere som Windows ... det har jeg svært ved at forestille mig.

Det bliver i øvrigt spændende at se hvad der sker den dag en af Linux distributionernes update systemer bliver hacket. Så kommer der for alvor gang i møgsprederen ...

  • 1
  • 1
Hans Nielsen

det har jeg svært ved at forestille mig.


Så kan du nok ikke forstille dig ret meget, eller du ved meget lidt om emnet. Eller du fortrækker ikke at forholde dig, til det som ikke passer ind i din virkeligthed. Ligesom i koruptionsagerne i Fiskeiministeret. Noget som jeg stadig synes savner et svar fra dig ?

Linux kerne understøtter direkte langt det meste, og langt mere end Windows nu om dage. Så det går meget langt i mellem, at der skal installeres externe driver. Hvis der skal installeres, eller opdateres noget foregår det også typsk automatisk.

Eneste problem er tit perifiere enheder, som mus, tasture og printer, som dog næsten altid virker. Men ikke med fuldt funktionalitet.

"det er set før at det er brugervenligheden der giver problemer."
Ja Windows bagudkombillitet og brugervenlighed, er en af grundene til at systemer er så usikkert som det. Udover de meget tåbeligt valg der er truffent, medhensyn til bruger administration, filsystem, og en masse andet. Men det et jo så stadig et valg som er truffet, for at gøre det nemt for enten brugern eller Microsoft.


Det er dette her jeg savner et svar på, hvorfor skal jeg politanmelde noget, som ministeret selv har gjort. Og mener du stadigt, at det ikke er koruption ?

https://www.version2.dk/artikel/skoleelev-fik-beslaglagt-computerudstyr-...

  • 1
  • 5
Log ind eller Opret konto for at kommentere