戴尔承认它安装在其笔记本电脑上的根证书是一个坏主意,正在推动补丁永久删除它。
在博客帖子中Spokesperson Laura Thomas表示EdellRoot作为支持工具安装,使客户能够更快,更容易为客户提供服务。但其中一些客户发现了证书,并将其认可为严重的安全威胁。
“我们已将说明从系统中永久删除证书的说明这里,“托马斯写道。我们还将在11月24日开始的软件更新,该软件更新将检查证书,如果检测到删除它。在没有戴尔基金会服务的商业客户中重新分析其系统的商业客户不受此问题的影响。此外,证书将从前进的所有戴尔系统中删除。“
她没有详细介绍哪种机器模型或者有多少设备受到影响。
Dell Foundation Services是一个管理包,可以更轻松地设置内存改进并修复戴尔计算机上的小软件错误。
对于那些不想使用推送的补丁的人来说,手动删除EdellRoot的说明是一个17步过程,占用11字文档页面,包括屏幕截图。补丁 -点击这里- 也可以下载。
根据发现它的戴尔客户的问题,程序员Kevin Hicks,就是证书可以用来签署恶意代码,证明它是安全的安装,而不是。
“对于那些不熟悉的人,“他在Reddit上写道,”一个网络攻击者可以使用这个CA来签署他或她自己的假证书,以便在真实的网站上使用,除非他们发生的影响检查网站的证书链。“
希克斯说他偶然遇到了证书。“我偶然发现了糟糕的证明,同时调查了一个需要我检查我的证书商店的不相关的问题,这是这种不幸的惊喜等着我,”他说。
发现Edellroot的HICKS和其他人说其潜在的影响与超级鱼,今年早些时候在新联想计算机上安装的广告软件。它使HTTPS连接到网站,使其成为攻击者对受影响机器进行中间人攻击的潜在点。
Spokeswoman写道,安装Edellroot是戴尔的安全失效,录取了“无意地介绍了安全漏洞”。......客户安全和隐私是戴尔的最重要关注和优先事项;我们深感遗憾的是,这发生了这种情况,正在采取措施解决它。“