Millionen Gigabyte-Mainboards bringen gefährliche Backdoor mit
Bild: Gigabyte
Security-Experten üben scharfe Kritik an der Umsetzung eines Features, das einfache Updates ermöglichen soll
Zahlreiche Mainboards des Unternehmens Gigabyte bringen eine Funktion mit, die aus Sicherheitsperspektive als gefährliche Backdoor betrachtet wird. Betroffen sind 270 Modelle und damit Millionen PCs.
Quell des Ärgers der Fachleute von Eclypsium ist der Gigabyte-Update-Service. Dieser nistet sich im System ähnlich ein, wie es auch verschiedene Malwares tun, mit denen das System eines Nutzers unterwandert werden soll. Er wird als Systemdienst eingerichtet und kann automatisch Software von drei verschiedenen URLs nachladen und ausführen.
- http://mb.download.gigabyte.com/FileList/Swhttp/LiveUpdate4
- https://mb.download.gigabyte.com/FileList/Swhttp/LiveUpdate4
- https://software-nas/Swhttp/LiveUpdate4
Bei der Umsetzung werden aber selbst grundlegende Sicherheitsregeln verletzt. Eine der drei Adressen wird über eine ungesicherte HTTP-Verbindung angesteuert und ist damit ein "gutes" Ziel für Man-in-the-Middle-Attacken. Dem nicht genug, erfolgt laut Eclypsium auch keine Verifizierung von heruntergeladenen Dateien. Gelingt es einem Angreifer, dem Updater Malware unterzujubeln, wird diese anschließend ungeprüft und ohne Zutun des Nutzers installiert.
Mehr dazu findest Du auf derstandard.at
Mehr dazu:
Backdoor-Gefahr: Gigabyte liefert Updates für zahlreiche Mainboards aus
Updates werden nur noch von Servern mit Zertifikat geladen, heruntergeladene Dateien werden verifiziert
Updates werden nur noch von Servern mit Zertifikat geladen, heruntergeladene Dateien werden verifiziert
Kurze URL:
Das könnte Dich auch interessieren:
Das Unternehmen verknüpfte Adressdaten mit Parteiaffinitäten und sollte 18 Millionen Euro Strafe zahlen. Ein Gericht hob die Strafe auf, doch jetzt muss das Verfahren wiederholt werden
Spy.pet hat die öffentlichen Nachrichten von über 14.000 Discord-Servern angeblich mit Bots eingesammelt. Zahlende Kunden dürfen diese nun durchsuchen.
Ähnliche News:
Warum die Sozialversicherung über 50 Millionen Euro in KI-Projekte stecken will
Wie der Staat mit maschinellem Lernen seit Jahren Millionen einspart
AU: Softwarefehler kostet Casinobetreiber Millionen
So haben Verbrecher Apple um 6 Millionen Dollar betrogen
Forscher machen das Glasfasernetz 4,5 Millionen Mal schneller
Versteigerung von 5G-Frequenzen bringt knapp 25 Millionen Euro
Amazon zieht sieben Millionen gefälschte Artikel aus dem Verkehr
Deutscher Verkehrsminister will Millionen in Flugtaxis investieren
1,1 Millionen USD gewonnen: Pwn2Own-Hacker attackieren Tesla, Firefox und andere
KI beschert Inselstaat mit 16.000 Einwohnern 32 Millionen Dollar
Wie der Staat mit maschinellem Lernen seit Jahren Millionen einspart
AU: Softwarefehler kostet Casinobetreiber Millionen
So haben Verbrecher Apple um 6 Millionen Dollar betrogen
Forscher machen das Glasfasernetz 4,5 Millionen Mal schneller
Versteigerung von 5G-Frequenzen bringt knapp 25 Millionen Euro
Amazon zieht sieben Millionen gefälschte Artikel aus dem Verkehr
Deutscher Verkehrsminister will Millionen in Flugtaxis investieren
1,1 Millionen USD gewonnen: Pwn2Own-Hacker attackieren Tesla, Firefox und andere
KI beschert Inselstaat mit 16.000 Einwohnern 32 Millionen Dollar
Weitere News:
Google Docs sperrt Romanautorin aus
Kritische Gitlab-Schwachstelle wird aktiv ausgenutzt
Linux-Tool: Neofetch wird nicht mehr weiterentwickelt
Microsoft verbietet Polizei den Einsatz seiner KI-Dienste
iPhone-Absatz bricht um über zehn Prozent ein
Polizei durchsucht 12 Callcenter und verhaftet 21 Personen
Die Grosse Wartung Mai 2024
SGI ICE XA: Ehemaliger Top-20-Supercomputer wird versteigert
Huawei soll im September einen M3-Konkurrenten haben
AWS-S3-Bucket: Kostenexplosion durch nicht autorisierte Anfragen
Kritische Gitlab-Schwachstelle wird aktiv ausgenutzt
Linux-Tool: Neofetch wird nicht mehr weiterentwickelt
Microsoft verbietet Polizei den Einsatz seiner KI-Dienste
iPhone-Absatz bricht um über zehn Prozent ein
Polizei durchsucht 12 Callcenter und verhaftet 21 Personen
Die Grosse Wartung Mai 2024
SGI ICE XA: Ehemaliger Top-20-Supercomputer wird versteigert
Huawei soll im September einen M3-Konkurrenten haben
AWS-S3-Bucket: Kostenexplosion durch nicht autorisierte Anfragen
Einen Kommentar schreiben
Kommentare
Bitte bleibe sachlich und fair in deinen Äußerungen. Sollte dein Kommentar nicht sofort erscheinen, ist er in der Warteschlange gelandet und wird meist zeitnah freigeschaltet.
(1)
Bitte bleibe sachlich und fair in deinen Äußerungen. Sollte dein Kommentar nicht sofort erscheinen, ist er in der Warteschlange gelandet und wird meist zeitnah freigeschaltet.
Kommentare:
Du hast bereits für diesen
Kommentar angestimmt...
;-)
© by Ress Design Group, 2001 - 2024