zurück zum Artikel

Android Studio 2.1.1 und die Updates der IntelliJ-IDEs schließen zwei Sicherheitslücken, die unter anderem den Zugang auf das lokale Dateisystem über den integrierten Webserver erlauben.

Google hat eine Meldung für die Nutzer von Android Studio veröffentlicht [1], die dringenden zum Update auf Version 2.1.1 rät, die außer dem Bugfix keine Neuerungen erhält. Der Fehler stammt aus der Entwicklungsumgebung IntelliJ, auf der Android Studio aufbaut. Auch deren Hersteller JetBrains empfiehlt nachdrücklich [2] den Update auf die aktuell gepatchten Versionen.

Angriff über manipulierte Websites

Eine CSRF-Sicherheitslücke im integrierten Web-Server ermöglicht Angreifern den Zugriff auf das lokale Dateisystem ohne Zustimmung der Nutzer über manipulierte Webseiten. Die zweite Lücke entsteht durch zu großzügige CORS-Einstellungen. Das Cross-Origin Resource Sharing ermöglicht den Zugriff auf Ressourcen, die nicht auf derselben Website wie ein Skript liegen, was normalerweise wegen der Same-Origin Policy (SOP) verboten wäre. Durch die Schwachstelle ist es Angreifern möglich, über manipulierte Webseiten die internen API-Endpunkte der IDE anzusprechen und dadurch Metadaten abzurufen oder Projekte zu öffnen.

Nutzer der IntelliJ-IDEs sollten das Update über die integrierte Aktualisierungsfunktion durchführen. Die Lücke betrifft alle seit Dezember 2012 veröffentlichten Varianten. Auch Android Studio findet bei der integrierten Update-Suche Version 2.1.1. Wer auf Version 1.5 bleiben möchte oder muss, findet einen Patch [3] auf der offiziellen Website. (rme [4])

URL dieses Artikels:
https://www.heise.de/-3204544

Links in diesem Artikel:
[1] https://plus.google.com/103342515830390186255/posts/g6PVpuVxXMP
[2] http://blog.jetbrains.com/blog/2016/05/11/security-update-for-intellij-based-ides-v2016-1-and-older-versions/
[3] http://tools.android.com/download/studio/builds/1-5-2/
[4] mailto:rme@ix.de

Copyright © 2016 Heise Medien