Schon das ist nicht in Ordnung und verfälscht nahezu jede Internetseite, aber die Krönung ist, dass die Software offenbar auch eine gefährliche Sicherheitslücke mitliefert, die die Sicherheit von HTTPS-Verbindungen vollständig aushebelt, nämlich ein in den Browsern voreingestelltes Root-Zertifikat.
Der dazu passende private Schlüssel ist Teil der Software Superfish selbst. Wer über diesen privaten Schlüssel verfügt, hat damit ein Root-Zertifikat samt privatem Schlüssel, mit dem er beliebige Webseiten-Zertifikate ausstellen kann, die wiederum von allen Lenovo-Laptops mit Superfish darauf ohne Warnung direkt akzeptiert werden.
Es ist sicher nur eine Frage der Zeit, bis der private Schlüssel von Superfish aus der Software extrahiert und im Netz verbreitet wird. Weitere Details dazu finden Sie bei Golem.