Trovata vulnerabilità nel software di supporto Dell: aggiornate i vostri PC

05 Maggio 2019 60

Sempre più spesso parliamo di falle di sicurezza, di problemi legati a software e di vulnerabilità all'interno di prodotti o sistemi operativi. Tutto "normale" in un mondo che ormai è sempre più informatizzato e dove gli attacchi digitali aumentano in modo vertiginoso permettendo di scoprire eventuali insucerezze che difficilmente altrimimenti potrebbero emergere.

Dell è l'ultima azienda ad essere balzata agli onori della croncaca. A quanto pare, lo scorso ottobre, un ragazzo di 17 anni avrebbe scoperto un problema di sicurezza all'interno del software ufficiale Dell SupportAssist, un programma che permette di monitorare li aggiornamenti sui prodotti Dell e che ha l'accesso al sistema in quanto può installare programmi e update.

Il programma però sarebbe aggirabile e un hacker potrebbe riuscire ad ottenere i permessi per l'installazione di programmi malevoli sfruttando proprio una falla dell'assistente di supporto. Non è chiaro come mai Dell ci abbia messo diversi mesi per aggiornare il proprio software e chiudere il problema, di fatto l'aggiornamento SupportAssist v 3.2.0.90 è arrivato solo nelle ultime ore e risolve.

Fortunatamente, stando alle parole di Demirkapi, il ragazzo che ha scoperto la vulnerabilità, la falla può essere sfruttata solo se l'hacker si trova sulla stessa rete locale del PC, ad esempio il Wi-Fi pubblico.

Oggi uno dei migliori acquisti nella fascia media? Huawei Mate 10 Pro, in offerta oggi da Cellularishop a 425 euro oppure da ePrice a 759 euro.

60

Commenti

Regolamento Commentando dichiaro di aver letto il regolamento e di essere a conoscenza delle informazioni e norme che regolano le discussioni sul sito. Clicca per info.
Caricamento in corso. Per commentare attendere...
fabbro

ti raggiungo tra poco, aspettami li!
Sono stanco di essere gentile con chi non capisce o fa finta di non riuscirci e commenta a sproposito.E' tutto scritto, se non riesci a capire non rispondere, se non conosci i meccanismi di sviluppo e di test non esprimerti.

goghicche

Molto gentile, sa dove puoi andare?

fabbro

che tu non abbia capito è palese!non riuscire a comprendere la timeline è brutto

Bad Mad Lad™

Sì, intendevo senza toglierlo.

goghicche

Non capisco, Dell è stata avvisata mesi fa del problema, il fix è uscito negli ultimi giorni, non mi sembra siano stati rapidissimi...

The_Th

visto che ti senti tanto intelligente potresti andare tu a migliorare i prodotti, oppure andare a dare le multe come un sergente...magari migliori il mondo...

takaya todoroki

"Comunque dopo aver ricevuto le multe cercheranno di migliorare i prodotti"

FINE DELLA DISCUSSIONE

The_Th

il modo è togliere proprio il Support Assist

The_Th

perchè tu pensi che facciano di proposito prodotti scadenti?
Se ricevono multe milionarie devono essere giustificate, altrimenti non le pagano di sicuro...

Comunque dopo aver ricevuto le multe cercheranno di migliorare i prodotti, ma non arriverai mai e poi mai ad un software privo al 100% di bug, prima o poi qualcosa salta fuori, anche perchè si tratta di software che interagiscono con altri e con l'HW...magari il bug che si scopre nel tuo SW non è direttamente colpa tua, ma la falla viene creata dalla combinazione con un altro particolare SW...In quel caso è colpa tua anche se il problema è causato da una interferenza con altro?
Oppure il problema, come in questo caso, si presenta collegandosi ad una rete wifi poco sicura...In questo caso è colpa della rete, dell'utente o del produttore...
Se ti colleghi ad una wifi pubblica i tuoi dati si possono sniffare, in alcuni casi password comprese, ed è una cosa difficilmente risolvibile...se non quasi impossibile...

fabbro

"Non è chiaro come mai Dell ci abbia messo diversi mesi per aggiornare il proprio software"
ennesimo dimostrazione di totale assenza di conoscenza dei processi di sviluppo e fixing.
La vulenrabilità è stata resa nota il 30 aprile, in una settimana è stato rilasciato il fix.Sul sito sono indicate a grandi linee le attività svolte.

https:// d4stiny. github .io/ Remote-Code-Execution-on-most-Dell-computers

Timeline
10/26/2018 - Initial write up sent to Dell.

10/29/2018 - Initial response from Dell.

11/22/2018 - Dell has confirmed the vulnerability.

11/29/2018 - Dell scheduled a “tentative” fix to be released in Q1 2019.

01/28/2019 - Disclosure date extended to March.

03/13/2019 - Dell is still fixing the vulnerability and has scheduled disclosure for the end of April.

04/18/2019 - Vulnerability disclosed as an advisory.

takaya todoroki

NON HAI RISPOSTO ALLA SEMPLICE DOMANDA:
"Cioè davvero tu pensi che dopo aver ricevuto multe milionarie non si muoverebbero per migliorare i prodotti?
DAVVERO??????????????"

The_Th

nessuna azienda al mondo punta a fare un software con dei bug, nessuna azienda punta a fare un prodotto difettoso, ma alcune volte i prodotti presentano dei problemi...
Se potessi fare il sw perfetto senza il minimo problema lo farei, fatto la prima volta non devo più spenderci per manutenzionarlo, ma questo è impossibile, un SW avrà sempre qualche bug, magari chiuso uno se ne apre un altro...

Tutto sta nel risolvere i bug, soprattutto di sicurezza, in breve tempo dal momento in cui vengono scoperti...

diverso è il caso in cui in un software venga inserita di proposito una falla per essere sfruttata da qualcuno, quello è un caso ben diverso...

takaya todoroki

"forse non ti è chiaro un concetto di base, qualsiasi software presenta dei bug"

forse non ti è chiaro il concetto: le aziende si approfittano degli asini che pensano questa cosa per giustificare le porcherie più immonde, come password predefinite, servizi nascosti, o peggio.

Loro sono il cancro dell'informatica, vanno punite con multe esemplari e *VEDRAI* che dopo la multina cominceranno a prendere la sicurezza sul serio.

Cioè davvero tu pensi che dopo aver ricevuto multe milionarie non si muoverebbero per migliorare i prodotti?
DAVVERO??????????????

The_Th

forse non ti è chiaro un concetto di base, qualsiasi software presenta dei bug, e succede in tutti i settori che ci sono problemi, potrei citare i problemi al 737MAX, i vari richiami delle auto per problemi di sicurezza, il problema alle batterie di vari dispositivi...
Sono tutti errori dovuti al fatto che l'errore è umano, o dovuti al fatto che con il tempo si trovano dei modi nuovi per forzare un software...

Non possiamo prendere le persone che magari hanno fatto quel SW 5 anni fa e metterle alla fustigazione nella pubblica piazza, altrimenti per ogni cosa dobbiamo fustigare la gente, altrimenti torniamo al regime del terrore...

takaya todoroki

"A cosa ti serve punire vigorosamente chi sbaglia?"

a fargli investire MOLTO di più in sicurezza e controllo della qualità.
chi dà la colpa agli utenti per ERRORI DEI PRODUTTORI è un'infame.
Chi giustifica gli errori madornali dei produttori è uno che non vuole un prodotto sicuro.
Il tempo in cui le SH potevano fare quello che volevano nascondendosi dietro EULA e simili deve finire.

takaya todoroki

sì, va punito severamente chi sbaglia in fatto di sicurezza.
ripeto per i NON UDENTI: GLI ESPERTI IN MATERIA SONO LE AZIENDE NON GLI UTENTI
chi dà la colpa agli utenti per ERRORI DEI PRODUTTORI è un'infame.
Chi giustifica gli errori madornali dei produttori è uno che non vuole un prodotto sicuro.
Il tempo in cui le SH potevano fare quello che volevano nascondendosi dietro EULA e simili deve finire.

Bad Mad Lad™

Al di là della falla di sicurezza, il Support Assist rompe abbastanza le scatole. Sul mio Alienware ha aggiornato il driver del touchpad e da allora ha cominciato a funzionare male, così ho reinstallato manualmente la versione precedente. Ha ripreso a funzionare bene ma ora, dopo ogni riavvio, Support Assist mi ricorda di aggiornarlo e non c'è modo di togliere questo avviso fastidioso...

Freerider

O forse funziona meglio visto che il software OEM nel 90% serve solo per rallentare da schif0 un compurter. Se non sono macchine particolari (workstation o gaming) una bella formattazione pulita per togliere software e partizioni inutili sarebbe la prima cosa da fare.

The_Th

quindi dobbiamo prendere chi fa un errore e metterlo alla gogna nella pubblica piazza?
Tutti i software, ripeto tutti, hanno dei bug, alcuni gravi, alcuni meno, alcuni fastidiosi perchè il programma si impalla e non risponde correttamente, altri pericolosi perchè permettono di rubare dati...

La cosa fondamentale è che quando un bug viene scoperto, soprattutto di sicurezza, venga risolto in poco tempo...e per questo è importante aggiornare e non restare con software di anni fa...

The_Th

è successo a qualsiasi software di avere problemi di sicurezza, è normale...

La cosa importante è che appena scoperta la falla venga sistemata in tempi brevi...

Lolloso

Come no

Aster

Non so tu ma...;) https://uploads.disquscdn.c...

ale

La prima cosa che si fa quando si acquista un PC nuovo è quella di formattare il disco ed installare Linux.

Karakurt

E a quel punto che me ne faccio di un fermacarte? :)

Max
Super Rich Vintage

è onesto giustificare l'errore visto che non c'è intenzionalità nell'arrecare danno. A cosa ti serve punire vigorosamente chi sbaglia? Tutti possono sbagliare, che danni ha portato l'errore? Se usi wi-fi pubblici accetti i rischi e se perdi i dati te ne stai zitto a piangere. Le aziende sono esperte in materia di sicurezza? Ma quando mai, i software sono sviluppati da società terze distanti dall'azienda che produce hardware. Gli utenti si devono prendere le loro responsabilità, dare la colpa a aziende oneste è inutile.

takaya todoroki

Non esiste solo perchè c'è gente come te che giustifichi questi errori.

Se si pretendesse sempre il massimo, punendo vigorosamente chi sbaglia anziché dare la colpa agli utenti (casomai non te ne rendessi conto, GLI ESPERTI IN MATERIA SONO LE AZIENDE NON GLI UTENTI), vedresti come si ridurrebbero DI CORSA questi casi.

Super Rich Vintage

Il software perfetto non esiste, essendo soggetto a compilazione umana il bug è normale, poi logico uno deve intervenire in tempo per correggere almeno le falle grosse e palesi.

takaya todoroki

"Vabbè qualsiasi cosa è hackerabile"

E questo è colpa solo tua, visto che lo accetti e giustifichi chi scrive software di qualità infima.

Felk

Comprate un MacBook con 2000€, poi non usate la tastiera così non dovrete mandarlo in assistenza, non piegate lo schermo che son 600€ per la sostituzione di un insulto flex, non fate scritture sull'SSD perché non è sostituibile, non lavorateci perché raggiunge i 100° fissi, non accendetelo perché macOS è più bucato di un tossico... Dimentico qualcosa?

G. Vakarian

*Apple

G. Vakarian

Bravo, così non funziona più un caxxo

G. Vakarian

E comprate Mac con processore dual core, 4 GB di RAM e metà della memoria al doppio del prezzo

gp

E lascialo spento che non ci puoi fare niente

nutci

Unica risposta a dei portatili che sanno fare, per la prima volta dopo tanto tempo, una concorrenza alla pari con i prodotti della Mela?

Top Cat
aaronkatrini

Comprare 2 Mac per essere ancora più sicuri.

Giacomo M.

Sicuramente la maggior parte degli utenti non è consapevole dei rischi che corre utilizzando wifi pubblici, password poco sicure o scarica materiale pirata da internet... Questo non giustifica una falla così grossa come questa in un software ufficiale e per così tanto tempo.

Shaq Boom

E comprate Mac

Andrej Peribar

Lo stavo trollando :)

CAIO MARIOZ
untore

I driver li puoi tenere, credo che lui si riferisca ai software di gestione del produttore (aggiornamenti, rete, backup ecc)

Aster

Confermo

Andrej Peribar

Lo so.
Ci ho provato per tanto tempo. :(

Aster

Sicuramente niente è perfetto

Super Rich Vintage

Può anche non esserlo direttamente, ma condivide la stessa mentalità.

Markk

Intanto devo attendere almeno il 2021 per acquistare un notebook con cpu Ryzen 5nm, ssd decente etc. , sperando di non trovare prezzi esagerati fuori controllo (cartello).

Patafrosti

Too Cat è Santos?
WUT

Andrej Peribar

Che avrà anche i suoi difetti, ma ha certamente una gestione driver migliore

Aster

O scegliere la versione dev edition con Linux :)

Huawei MateBook: X Pro 2019 e 14 ufficiali, prezzi Italia del 13 | VIDEO

Recensione Lenovo Yoga Book C930: il ritorno del convertibile 4 in 1

Devolo Magic 2: Powerline a 2400 Mbps e Wi-Fi Mesh | Video

Xiaomi Notebook Pro e MacOS: binomio possibile? Video