Sicherheitslücke im Filesharing-Client Morpheus

Der Filesharing-Client Morpheus weist eine Sicherheitslücke auf, die das Auslesen lokaler Dateien ermöglicht, ohne dass etwaige Einstellungen in der Client-Software berücksichtigt werden. Für das Problem gibt es auch bereits einen Exploit, der die Lücke sowohl bei Morpheus als auch bei Kazaa auszunutzen vermag. Wahrscheinlich ist ebenfalls Grokster betroffen, da der Client die gleiche Software und das gleiche Protokoll verwendet. Allerdings ist das Problem nicht ganz so kritisch, wie es die britische BBC gemeldet hat; die Lücke ermöglicht lediglich das Anzeigen und den Download vom Benutzer freigegebener Dateien für Gegenstellen, die gar keinen P2P-Client einsetzen.

Die Filesharing-Clients lauschen auf dem Port 1214 auf eingehende Verbindungen anderer Filesharing-Nutzer. Auf diesem Port zeigt der File-Sharing-Client alle im Programm freigegebenen Verzeichnisse und Dateien an -- ist bereits ein Download aktiv, so können andere User ohne zusätzliche Programme, nur mit einem Webbrowser ausgestattet, über den Port 1214 alle freigegebenen Dateien und Verzeichnisse einsehen und herunterladen, da als Protokoll http benutzt wird. Abhilfe gegen das Problem schafft entweder, die Freigaben abzuschalten oder gänzlich auf den Versand von beliebigen Dateien über Filesharing-Clients zu verzichten. (pab)