Sie sind hier: Home > Digital > Internet & Sicherheit >

Acer, Asus, Dell, HP, Lenovo: Update-Tools sind unsicher

...
t-online.de ist ein Angebot der Ströer Content Group

Gute Absicht schlecht umgesetzt  

Update-Tools der PC-Hersteller weisen eklatante Sicherheitslücken auf

06.06.2016, 11:33 Uhr | t-online.de

Acer, Asus, Dell, HP, Lenovo: Update-Tools sind unsicher. Ratloser Nutzer vor einem Notebook (Quelle: imago/Westend61)

Updaten oder nicht? Nutzer in der Zwickmühle. (Quelle: Westend61/imago)

Die Update-Routinen mehrerer PC-Hersteller sind schockierend unsicher. Bei Acer, Asus, Dell, HP und Lenovo hat der Sicherheitsanbieter Duo Labs Security mindestens eine Sicherheitslücke entdeckt, die es Angreifern erlaubt, Schadcode einzuschleusen. Dabei sollen die untersuchten Programme die Geräte eigentlich sicherer machen.

Das am besten gegen Angreifer geschützte Programm ist immer das neueste. Deshalb ist es wichtig, Programme, Firmware und Gerätetreiber stets auf neuestem Stand zu halten. Weil das für jeden normalen Benutzer ein fast unmögliches Unterfangen ist, geben Software-Hersteller ihren Programmen Update-Tools mit, die daran erinnern, wenn eine veraltete Version vorliegt oder selbsttätig dafür sorgen, dass ein Update heruntergeladen und installiert wird.

Angreifer können Schadcode einschleusen

Genau dieser Update-Algorithmus weist jedoch in vielen Fällen eklatante Sicherheitslücken auf, wie Duo Labs Security berichtet. Der Sicherheitsdienstleister untersuchte die Update-Hilfsprogramme der Hersteller und stellte fest, dass diese oft nur ungenügend abgesichert sind, so dass es Angreifern möglich ist, dem System beliebigen Schadcode unterzujubeln. Ausgerechnet in dem Moment, in dem die Sicherheit einer Software erhöht werden soll, ist sie also großer Gefahr ausgesetzt.

Kriminellen bieten sich verlockende Möglichkeiten für einen erfolgreichen Angriff. So könnten sie die nachzuladende Software durch eine eigene Variante austauschen, weil sich die Tools aufgrund unverschlüsselter Kommunikationswege aushorchen lassen.

Eine wirksame Methode dagegen wäre, wenn das Tool die Echtheit der nachzuladenden Software prüft. Doch was in der Open-Source-Szene ein selbstverständlicher Vorgang ist, scheint sich bis zu den großen Herstellern nicht herumgesprochen zu haben. In einigen Fällen seien diese Prüfungen auch fehlerhaft implementiert. Besonders brisant dabei ist, dass ein Installiervorgang in der Regel mit Systemrechten versehen ist und die eingeschleuste Schadsoftware dadurch auch. 

Trotzdem nicht auf Updates verzichten

Wie der Newsdienst Heise online berichtet, soll Dell inzwischen reagiert und sein Tool abgedichtet haben. In allen anderen Fällen bleibt der Nutzer ratlos zurück. Auf Updates zu verzichten, ist kein guter Tipp, denn so entsteht eine permanente Sicherheitslücke. Die sicherste Methode ist, selbst das Update direkt beim Hersteller herunterzuladen und zu installieren – hier kommen integrierte Update-Tools nicht zum Einsatz. Doch das ist mit erhöhtem Aufwand verbunden.

Weitere spannende Themen finden Sie auf unserer Digital-Startseite.

Liebe Leserin, lieber Leser, aktuell können zu diesem Thema keine neuen Kommentare abgegeben werden. Ab 6 Uhr können Sie hier wieder wie gewohnt diskutieren. Wir danken für Ihr Verständnis.
Liebe Leser, bitte melden Sie sich an, um diesen Artikel kommentieren zu können. Mehr Informationen.

Kommentare

(0)
Leserbrief schreiben

Für Kritik oder Anregungen füllen Sie bitte die nachfolgenden Felder aus. Damit wir antworten können, geben Sie bitte Ihre Adresse an.

Name
E-Mail
Betreff
Nachricht

Wählen Sie aus dem Pull-Down-Menü Ihren gewünschten Ansprechpartner aus. Vielen Dank für Ihre Mitteilung.

Artikel versenden

Empfänger

Absender

Name
Name
E-Mail
E-Mail
Anzeige
Video des Tages
Anzeige

Shopping
Shopping
Trendige Sofas und Couches für jeden Geschmack
reduzierte Angebote entdecken bei ROLLER.de
Shopping
Vom Fleck weg gekauft: Hoover Haushaltsgeräte
OTTO.de
Mehr zum Thema
Sie sind hier: Home > Digital > Internet & Sicherheit

Anzeige
shopping-portal
© Ströer Digital Publishing GmbH 2017