y*z
发帖数: 3244 | 1 【 以下文字转载自 Military 讨论区 】
发信人: yjz (隐君子), 信区: Military
标 题: 戴尔电脑集体中招:秒变黑客“肉鸡”
发信站: BBS 未名空间站 (Tue Nov 24 02:33:50 2015, 美东)
http://news.mydrivers.com/1/458/458159.htm
按照戴尔CEO Michael Dell的说法,作为世界第三大PC厂商,他们一年的销量是3亿台。
如此多消费者因为信赖而选购,如果电脑本身有什么“通病”,影响之广无疑是很大的。
据Reddit网友爆料,大量戴尔电脑在出厂时都预装了该公司自签名的数字安全认证(CA
),而该认证文件在每一台电脑中都“完全一样”,即使新出的XPS 15也未能幸免。
这样有什么坏处呢?
网友解释,黑客如果拿到认证文件的私有密钥(Private Key)源码(实际上非常容易
做到),那么其他同样在使用着这个认证文件的戴尔电脑,将可以不费吹灰之力就被攻
破。换言之,这些海量的戴尔电脑将在瞬间变为“肉鸡”。
不过,戴尔的反应倒是很迅速。他们强调,用户隐私和安全保护是该公司首要职责。目
前,戴尔工程师已开始对问题严重性进行评估。预计最有可能的解决方案将是通过系统
更新更改或作废预装在电脑中的认证文件。 |
a*f
发帖数: 1790 | 2 "实际上非常容易做到"-实际上VeriSign的私码也很容拿到 |
y*z
发帖数: 3244 | 3 http://www.ithome.com/html/soft/190628.htm
IT之家讯 戴尔近日曝出了eDellRoot安全证书漏洞问题,被业界看做是戴尔版的“超级
鱼”事件。此前联想由于在海外发布的电脑中预装了“饱含”漏洞的“超级鱼”软件而
备受质疑。如今戴尔被用户发现在Win10笔记本 Inspiron 5000 和 XPS 15 中植入了自
签名的安全证书 eDellRoot,而该证书存在安全漏洞,攻击者可通过该漏洞轻易的对含
有证书的电脑发起攻击。
目前戴尔官方已经承认了该问题,并紧急发布了证书删除程序,受影响的用户应该及时
下载并执行该程序,以免继续受到该问题的威胁。
戴尔eDellRoot安全证书删除程序官方下载:
https://dellupdater.dell.com/Downloads/APP009/eDellRootCertFix.exe
【在 a*f 的大作中提到】
: "实际上非常容易做到"-实际上VeriSign的私码也很容拿到
|
a*f
发帖数: 1790 | 4 最精彩的是这个:
It was discovered this weekend that new Dell computers, as well as old ones
with updates, come with a CA certificate ("eDellRoot") that includes the
private key.
【在 y*z 的大作中提到】
: http://www.ithome.com/html/soft/190628.htm
: IT之家讯 戴尔近日曝出了eDellRoot安全证书漏洞问题,被业界看做是戴尔版的“超级
: 鱼”事件。此前联想由于在海外发布的电脑中预装了“饱含”漏洞的“超级鱼”软件而
: 备受质疑。如今戴尔被用户发现在Win10笔记本 Inspiron 5000 和 XPS 15 中植入了自
: 签名的安全证书 eDellRoot,而该证书存在安全漏洞,攻击者可通过该漏洞轻易的对含
: 有证书的电脑发起攻击。
: 目前戴尔官方已经承认了该问题,并紧急发布了证书删除程序,受影响的用户应该及时
: 下载并执行该程序,以免继续受到该问题的威胁。
: 戴尔eDellRoot安全证书删除程序官方下载:
: https://dellupdater.dell.com/Downloads/APP009/eDellRootCertFix.exe
|
c******n
发帖数: 16666 | |
i***l
发帖数: 9994 | 6 看出我等组装电脑爱好者的优势来了。对笔记本来说,第一件事就是硬盘格式化,重装
系统。OEM垃圾太多,干净系统又快又省地方。 |
a*f
发帖数: 1790 | 7 组装的中文系统经常看见截屏上一堆安全卫士360,PPLive,百度杀毒软件。。。
【在 i***l 的大作中提到】
: 看出我等组装电脑爱好者的优势来了。对笔记本来说,第一件事就是硬盘格式化,重装
: 系统。OEM垃圾太多,干净系统又快又省地方。
|
i***l
发帖数: 9994 | 8 哈哈,这些东西都是毒品原,碰不得。
我搞了个能用到2020年的Avira Pro的license,安装在所有电脑上。还安装了MBAM,不
过现在Prolicense不好搞了,只好先用这个的free版。
【在 a*f 的大作中提到】
: 组装的中文系统经常看见截屏上一堆安全卫士360,PPLive,百度杀毒软件。。。
|
y*z
发帖数: 3244 | 9 国内的很多国产软件都是流氓。
一旦装上了流氓,就只能找一个比他更流氓的杀他,如此,无止无休了。
【在 i***l 的大作中提到】
: 哈哈,这些东西都是毒品原,碰不得。
: 我搞了个能用到2020年的Avira Pro的license,安装在所有电脑上。还安装了MBAM,不
: 过现在Prolicense不好搞了,只好先用这个的free版。
|
P**H
发帖数: 1897 | 10 这个漏洞是windows里面还是bois里面的?clean install有没有问题? |
|
|
P**H
发帖数: 1897 | 11 多次强调,安全卫士360这些是软软的官方合作伙伴。网页上都有写的。
【在 a*f 的大作中提到】
: 组装的中文系统经常看见截屏上一堆安全卫士360,PPLive,百度杀毒软件。。。
|
t****t
发帖数: 6806 | 12 应该就是多了个根证书的意思吧. 证书最简单的用处就是告诉你谁家的网站可以信任.
但是这个基于一个前提就是这个证书的私钥没别人知道. 但是dell的这个私钥被传出去
了, 所以这个证书就变成漏洞了, 因为坏人就可以伪装可以信任的网站.
【在 P**H 的大作中提到】
: 这个漏洞是windows里面还是bois里面的?clean install有没有问题?
|
P**H
发帖数: 1897 | 13 那也就是dell预装系统的问题。如果之后是重装就没这个问题了。
.
【在 t****t 的大作中提到】
: 应该就是多了个根证书的意思吧. 证书最简单的用处就是告诉你谁家的网站可以信任.
: 但是这个基于一个前提就是这个证书的私钥没别人知道. 但是dell的这个私钥被传出去
: 了, 所以这个证书就变成漏洞了, 因为坏人就可以伪装可以信任的网站.
|
t****t
发帖数: 6806 | 14 对. 其实根本问题就是私钥流出去了, 本来不该发生的. 预装个根证书本身没什么大问
题.
【在 P**H 的大作中提到】
: 那也就是dell预装系统的问题。如果之后是重装就没这个问题了。
:
: .
|
t*****z
发帖数: 1598 | 15 这也是我喜欢组装机而少用品牌机的原因之一。只有我自己装的系统才最干净。
【在 i***l 的大作中提到】
: 看出我等组装电脑爱好者的优势来了。对笔记本来说,第一件事就是硬盘格式化,重装
: 系统。OEM垃圾太多,干净系统又快又省地方。
|
h**2
发帖数: 2841 | 16 在美国装啥盗版中文系统
给笔记本重新全新安装OS的目的就是pure Windows
装好后,没有天朝来的软件的半寸立足之地
PPLive现在不需要电脑,在盒子上pad上看即可
,谁还在电脑上看电视
【在 a*f 的大作中提到】
: 组装的中文系统经常看见截屏上一堆安全卫士360,PPLive,百度杀毒软件。。。
|
