戴爾存在漏洞的證書eDellRoot
北京時間11月24日消息,據科技網站PCWorld報道,戴爾筆記本預裝了一種自簽名根數字證書,可令攻擊者監控流向任意安全網站的流量。
該問題首先在社交新聞網站Reddit上曝光,很快得到了其他用戶和Twitter上安全專家的證實。這一根證書有權對筆記本進行認證授權,更糟糕的是,它還綁定了相應的私人密鑰。
這一私人密鑰目前已經在網上公布。有了私人密鑰,任何人都可以為任意網站生成一個證書。微軟IE、谷歌Chrome等瀏覽器使用了受影響筆記本上的Windows證書商店中的證書后,就會信賴這些網站。安全專家已經針對*.google.com、bankofamerica.com網站生成了概念驗證證書。
戴爾在一份電郵聲明中稱,該證書名為eDellRoot,從今年8月起安裝到了戴爾消費和商用設備中,目的是為消費者提供更好支持服務。
戴爾發言人稱,公司正在開發一個安全更新,周一晚間或周二應該就會發布。戴爾稱,他們已經在網站上公布了移除eDellRoot的指令,但是這一過程在技術上較為復雜。
京公網安備 11010502049343號