戴爾存在漏洞的證書eDellRoot
北京時(shí)間11月24日消息,據(jù)科技網(wǎng)站PCWorld報(bào)道,戴爾筆記本預(yù)裝了一種自簽名根數(shù)字證書,可令攻擊者監(jiān)控流向任意安全網(wǎng)站的流量。
該問題首先在社交新聞網(wǎng)站Reddit上曝光,很快得到了其他用戶和Twitter上安全專家的證實(shí)。這一根證書有權(quán)對(duì)筆記本進(jìn)行認(rèn)證授權(quán),更糟糕的是,它還綁定了相應(yīng)的私人密鑰。
這一私人密鑰目前已經(jīng)在網(wǎng)上公布。有了私人密鑰,任何人都可以為任意網(wǎng)站生成一個(gè)證書。微軟IE、谷歌Chrome等瀏覽器使用了受影響筆記本上的Windows證書商店中的證書后,就會(huì)信賴這些網(wǎng)站。安全專家已經(jīng)針對(duì)*.google.com、bankofamerica.com網(wǎng)站生成了概念驗(yàn)證證書。
戴爾在一份電郵聲明中稱,該證書名為eDellRoot,從今年8月起安裝到了戴爾消費(fèi)和商用設(shè)備中,目的是為消費(fèi)者提供更好支持服務(wù)。
戴爾發(fā)言人稱,公司正在開發(fā)一個(gè)安全更新,周一晚間或周二應(yīng)該就會(huì)發(fā)布。戴爾稱,他們已經(jīng)在網(wǎng)站上公布了移除eDellRoot的指令,但是這一過程在技術(shù)上較為復(fù)雜。