D-Link-Lücke klafft seit November, weitere Geräte betroffen

Eine der Sicherheitslücken, die momentan Router von D-Link unsicher macht, wurde gleich von zwei Sicherheitsforschern gefunden. Außerdem ist mindestens ein weiteres Modell betroffen. Updates lassen weiter auf sich warten.

In Pocket speichern vorlesen Druckansicht 14 Kommentare lesen
D-Link-Lücke klafft seit November, weitere Geräte betroffen
Lesezeit: 1 Min.
Von
  • Fabian A. Scherschel

In mehreren Routern des Herstellers D-Link klaffen Sicherheitslücken, die es Angreifern unter bestimmten Umständen ermöglichen, die Geräte aus der Ferne zu übernehmen. Öffentlich gemacht wurden die Lücken von Sicherheitsforscher Peter Adkins vergangene Woche. Nun meldet die Sicherheitsabteilung des Schweizer Telekommunikations-Unternehmens Swisscom, dass weitere Geräte betroffen seien. Mindestens das Modell DIR636L gilt ebenfalls als verwundbar.

Außerdem stellt sich heraus, dass die Schwachstelle mindestens seit November bekannt ist – also seit über drei Monaten. Adkins hatte D-Link Mitte Januar informiert, doch wie Swisscom meldet, hatte ein anderer Sicherheitsforscher die Lücke am 30. November entdeckt. Swisscom hatte sich zuerst eine CVE-Nummer für die Lücke zuteilen lassen (CVE-2015-1187) und dann am 2. Februar D-Link informiert. Am 16. Februar hatte D-Link dann gegenüber Swisscom einen Zeitplan für Patches mitgeteilt.

Adkins wartete seit dem 14. Januar vergeblich auf eine Antwort D-Links und gab seine Erkenntnisse schließlich vergangene Woche bekannt, vermutlich ohne vom parallelen Informationsaustausch zwischen D-Link und Swisscom zu wissen. Swisscom selbst veröffentlichte am heutigen Montag eigene Details zu der Lücke, nachdem man auf die Veröffentlichung von Adkins gestoßen war. Die Firma Trendnet, deren Router ebenfalls betroffen sind, hatte am 10. Februar Firmware-Updates veröffentlicht. (fab)