Man-in-the-Middle-Angriff:
Sicherheitsproblem für Western Digital-Tool
Mehrere kritische Schwachstellen in den Software-Tools zur Überwachung von SSDs der Marken Western Digital und SanDisk gefährden jetzt die Nutzer entsprechender Hardware. Das berichten Sicherheitsforscher von Trustwave.
Infografik: Sicherheitsrisiko Betriebssystem
Die hatten entdeckt, dass es Unbefugten über Sicherheitslücken in der Western Digital SSD Utility sowie im SanDisk SSD-Dashboard möglich ist, beliebigen Code einzuschleusen und dann auf den Rechnern der Betroffenen unbemerkt auszuführen (via Bleeping Computer). Beide betroffenen Anwendungen sind kostenlose Utility-Kits des Herstellers, mit denen Benutzer die Leistung ihrer SSDs überwachen, etwaige Probleme diagnostizieren und Informationen zur Fehlerbehebung sammeln können - und daher sind diese Tools auch entsprechend weit verbreitet. Die Pakete enthalten Tools für SSD-Firmware-Updates und zum Lesen von Laufwerksdetails (wie Modell, Kapazität, SMART-Attribute). Nutzer sollten schnellstmöglich die neuesten Sicherheitsupdates einspielen. Die jüngsten Aktualisierungen (mindestens Version 2.5.1.0) beheben die Sicherheitslücken bereits.
Dazu kommt ein weiterer fataler Fehler, der einfach durch die Verwendung des unsicheren HTTP-Protokolls für die Kommunikation mit dem Webservice des Dashboard-Tools die Möglichkeit für Angreifer bietet. Dieser Fehler sei dabei vermeidbar gewesen, schreibt der Sicherheitsforscher Martin Rakhmanov von Trustwave. Es ist ein wenig so wie ein sperrangelweit offenes Scheunentor, das Ungefugte anlockt. Durch die Verwendung von HTTP ist es zum Beispiel möglich, dass Dritte manipulierte Anwendungen einschleusen, da beim Download das Paket nicht extra geprüft wird.
Demnach lädt die Anwendung eine XML-Datei schon dann ohne weitere Prüfung herunter, wenn eine Versionsnummer enthalten ist, die höher ist als die der aktuellen Installation.
Siehe auch:
Infografik: Sicherheitsrisiko Betriebssystem
Die hatten entdeckt, dass es Unbefugten über Sicherheitslücken in der Western Digital SSD Utility sowie im SanDisk SSD-Dashboard möglich ist, beliebigen Code einzuschleusen und dann auf den Rechnern der Betroffenen unbemerkt auszuführen (via Bleeping Computer). Beide betroffenen Anwendungen sind kostenlose Utility-Kits des Herstellers, mit denen Benutzer die Leistung ihrer SSDs überwachen, etwaige Probleme diagnostizieren und Informationen zur Fehlerbehebung sammeln können - und daher sind diese Tools auch entsprechend weit verbreitet. Die Pakete enthalten Tools für SSD-Firmware-Updates und zum Lesen von Laufwerksdetails (wie Modell, Kapazität, SMART-Attribute). Nutzer sollten schnellstmöglich die neuesten Sicherheitsupdates einspielen. Die jüngsten Aktualisierungen (mindestens Version 2.5.1.0) beheben die Sicherheitslücken bereits.
Man-in-the-Middle-Angriff möglich
Laut den Sicherheits-Spezialisten von Trustwave ist es durch die Schwachstellen über einen so genannten einfache Man-in-the-Middle-Angriff möglich, sensible Systeminformationen zu stehlen. Zudem kann ein Unbefugter ein Anwendungs-Update initiieren, mit dem er Schadsoftware auf den PC einschleust.Dazu kommt ein weiterer fataler Fehler, der einfach durch die Verwendung des unsicheren HTTP-Protokolls für die Kommunikation mit dem Webservice des Dashboard-Tools die Möglichkeit für Angreifer bietet. Dieser Fehler sei dabei vermeidbar gewesen, schreibt der Sicherheitsforscher Martin Rakhmanov von Trustwave. Es ist ein wenig so wie ein sperrangelweit offenes Scheunentor, das Ungefugte anlockt. Durch die Verwendung von HTTP ist es zum Beispiel möglich, dass Dritte manipulierte Anwendungen einschleusen, da beim Download das Paket nicht extra geprüft wird.
Demnach lädt die Anwendung eine XML-Datei schon dann ohne weitere Prüfung herunter, wenn eine Versionsnummer enthalten ist, die höher ist als die der aktuellen Installation.
Siehe auch:
Thema:
Preisvergleich WD Black SN850 1TB
Beliebt im Preisvergleich
- Solid State Drives (SSD):
Videos zum Thema SSD
- NiPoGi E3B im Test: Einfaches Mini-PC-Upgrade bringt Überraschungen
- Geekom A9 Max: Speichertausch auf zwei RAM-Riegel lohnt sich
- Acemagic AX18 Pro: So leicht lässt sich der Speicher aufrüsten
- Ninkear A16 Pro: Großes Notebook mit großer Nachfrage im Test
- Ninkear S14: Leichtes 14-Zoll-Notebook mit AMD Ryzen im Test
Neue Solid-State-Drive-Downloads
Beiträge aus dem Forum
Weiterführende Links
Neue Nachrichten
- Aktuelle Technik-Blitzangebote von Amazon im Überblick
- Crash am Smartphonemarkt: Niedrigste Verkaufszahlen seit 13 Jahren
- Switch 2 OLED: Nintendo plant offenbar doch ein Display-Upgrade
- Pixel 11: Mega-Leak zeigt Bilder & Daten der neuen Google-Smartphones
- Insta360 X6: Technische Daten der neuen 8K/50FPS 360°-Actioncam
- Maps: Google startet großes Optik-Update mit immersiver Navigation
- OnePlus ist 'tot': Oppo will bald Rückzug aus EU & USA verkünden
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Alle Kommentare zu dieser News anzeigen