Атака «человек посередине» в Dell System Detect

Дата публикации:25.11.2015
Всего просмотров:3370
Опасность:
Средняя
Наличие исправления: Нет
Количество уязвимостей:1
CVSSv2 рейтинг: 6.8 (AV:N/AC:M/Au:N/C:P/I:P/A:P/E:U/RL:U/RC:C)
CVE ID: Нет данных
Вектор эксплуатации: Удаленная
Воздействие: Раскрытие важных данных
Раскрытие системных данных
Спуфинг атака
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: Dell System Detect
Уязвимые версии: Dell System Detect
Описание: Уязвимость позволяет удаленному пользователю получить доступ к важным данным.

Уязвимость существует из-за того, что Dell System Detect устанавливает на систему сертификат DSDTestProvider, который содержит приватный ключ, в хранилище доверенных корневых сертификатов. Удаленный пользователь может осуществить атаку «человек посередине» и расшифровать весь HTTPS трафик от пользователя к удаленному серверу.

URL производителя: http://www.dell.com
Решение: Для устранения уязвимости необходимо удалить самоподписанный сертификат Dell из доверенного корневого хранилища.
Ссылки: http://www.kb.cert.org/vuls/id/925497