Schwere Lücke im Router D-Link DIR-850L: Patches kommen am 19. September
Die Heimrouter können von Angreifern aus der Ferne übernommen werden. Bisher gibt es kein Update, da der Entdecker der Lücken D-Link vor der Veröffentlichung nicht informiert hat. Nun hat die Firma das Datum mitgeteilt, ab dem es Patches geben soll.
- Fabian A. Scherschel
In D-Links Heimrouter DIR-850L klaffen schwerwiegende Sicherheitslücken, für die es bisher kein Update gibt. Ein Sicherheitsforscher hatte die Lücken veröffentlicht, ohne dem Hersteller vorher Bescheid zu geben. Auf eine Nachfrage von heise Security, wann mit Updates für die Router zu rechnen ist, hat D-Link nun geantwortet: "Ein Firmware-Update wird am 19. September auf der D-Link Supportseite zur Verfügung stehen", so die Firma.
Von der Lücke betroffen sind beide Hardware-Revisionen (Rev. A und Rev. B) des Gerätes. Die Geräte können von Angreifern gekapert und komplett übernommen werden. Bei den Lücken handelt es sich unter anderem um Hintertürzugänge mit fest eingestellten Passwörtern, zu laxen Datei-Rechten, auf dem Gerät unsicher gespeicherten Passwörtern und einem DHCP-Client, über den Angreifer eigene Befehle mit Admin-Rechten ausführen können. Außerdem überprüfen die Geräte Firmware-Updates nicht oder nur ungenügend, so dass Hacker eigene, manipulierte Updates einspielen können. (fab)
