Microsoft dichtet OneDrive-Links ab

Microsoft hat eine Sicherheitslücke in seinem Cloud-Speicher OneDrive geschlossen. Wie die Firma im OneDrive-Blog mitteilte, handelt es sich bei der Lücke um ein Problem mit Links zu Drittwebseiten in Dokumenten bei OneDrive oder dem Office.com-Dienst. Klickt ein Nutzer auf einen solchen Link, war es dem Serverbetreiber der Drittseite bis vor Kurzem möglich, Header-Informationen des HTTP-Requests zu nutzen, um Zugriff auf das betroffene Dokument zu erhalten. Dieses Leck wurde nun gestopft.

Laut Microsoft behebt der Fix das Problem für alle ab jetzt neu angelegten Dokumente. Links in schon bestehenden Dokumenten sollten den entsprechenden entlarvenden Header ab sofort nicht mehr übermitteln – Nutzer können also ohne Sorge auf die Links klicken. Die Firma sagte, man habe sich dagegen entschieden, alte URLs von Dokumenten zu deaktivieren, da die Lücke nur einen kleinen Anteil von auf dem Dienst abgelegten Dokumenten betreffe. Außerdem habe man keine Kenntnis davon, dass auf diesem Weg unberechtigte Zugriffe auf OneDrive-Dokumente stattgefunden haben.

Ähnlichkeiten zur kürzlich entdeckten Dropbox-Lücke

Bei der Lücke handelt es sich aller Wahrscheinlichkeit nach um eine ähnliche Referer-Lücke, wie sie Dropbox Anfang Mai geschlossen hatte. Da man sowohl Dropbox- als auch OneDrive-Dokumente so bereitstellen kann, dass Nutzer nur die entsprechende URL kennen müssen, um Zugriff zu haben, kann ein Drittseiten-Betreiber durch Kenntnis der Referer Zugriff auf die Dokumente erlangen. Dropbox hatte im Mai, anders als Microsoft jetzt, vorsichtshalber die URLs von allen älteren Dokumenten ungültig gemacht.

Nutzer, die auch bei OneDrive auf Nummer sicher gehen wollen, können die Datei-Freigabe betroffener älterer Dokumente manuell deaktivieren. Gibt man dann das Dokument erneut über eine URL frei, wird diese neu vergeben. Hat ein Angreifer in der Vergangenheit Referer mitgeschrieben, hat er so keinen Zugriff auf das Dokument unter der neuen URL mehr. (fab)