Kritische SicherheitslĂĽcke in Western Digital EdgeRover geschlossen
Ein Sicherheitsupdate fĂĽr Western Digitals Datenverwaltungsanwendung EdgeRover sperrt Angreifer aus.
EdgeRover von Western Digital ist verwundbar und könnte Angreifern Zugriff auf eigentlich abgeschottete Daten gewähren. Eine dagegen abgesicherte Version für macOS und Windows schafft Abhilfe.
Mit EdgeRover katalogisiert man Inhalte auf lokalen Festplatten, um Daten zu suchen, auch wenn ein externer Datenträger nicht angeschlossen ist. Angreifer könnten an einer als "kritisch" eingestuften Sicherheitslücke (CVE-2022-22988) ansetzen, um unberechtigt auf Dateien zuzugreifen oder einen DoS-Zustand auszulösen. In so einem Fall stürzt Software in der Regel ab.
Aufgrund der Directory-Traversal-Schwachstelle könnte ein Angreifer aus der File-System-Sandbox ausbrechen. Wie eine Attacke im Detail aussehen könnte, ist bislang nicht bekannt. In einer Warnmeldung gibt Western Digital an, die Datei- und Verzeichnisberechtigungen angepasst zu haben. EdgeRover 1.5.1-594 für macOS und Windows soll gegen solche Attacken gewappnet sein.
(des)