1. Cookies optimieren die Bereitstellung unserer Dienste. Mit der Nutzung unserer Dienste erklärst Du dich damit einverstanden, dass wir Cookies verwenden. Weitere Informationen
    Information ausblenden
  2. Willkommen im Forum von DIGITAL FERNSEHEN - dem führenden Portal für digitales Fernsehen, Medien und Entertainment. Wenn du hier neu bist, schau dich ruhig etwas um und melde dich an, um am Forengeschehen teilnehmen zu können.
    Information ausblenden

Schwere UPnP-Lücke in Hunderten von Routermodellen

Dieses Thema im Forum "Weitere IPTV- und on Demand-Angebote, z.B. Zattoo," wurde erstellt von AlBarto, 30. Januar 2013.

  1. AlBarto

    AlBarto Moderator Mitarbeiter Premium

    Registriert seit:
    22. Dezember 2007
    Beiträge:
    3.906
    Technisches Equipment:
    TX-L42ETW60/Dreambox 8000HD//SONY MDR 1 und XPERIA Z und Iphone 6+ 64GB, BDP S-6200//Front:nubox 381, Rear: DS301, Center: CS411, Subwoofer: AW441; AV:Onkyo TX-NR609
  2. hopper

    hopper Lexikon

    Registriert seit:
    3. April 2003
    Beiträge:
    20.842
    Ort:
    San Francisco | Sunnyvale
    AW: Schwere UPnP-Lücke in Hunderten von Routermodellen

    Was soll man da diskutieren. Ich hab das immer sofort ausgeschaltet. Datenaustausch-und Steuerungsprotokoll ohne Authentifizierung? Ein Protokoll, dass rein der Bequemlichkeit dient? Unabhängig von den gefundenen Lücken in der Standard-Library, die meisten Router leiten upnp Anfragen ja auch ins Internet oder lassen aus dem Internet kommende upnp-Anfragen durch. Jetzt haben die halt den Salat. Und weil die Router-Firmware von vielen Geräten gar nicht aktualisiert werden kann, hilft wohl in vielen Fällen nur, Hardware entsorgen. Die Hersteller sind schon lange insolvent.
     
  3. hopper

    hopper Lexikon

    Registriert seit:
    3. April 2003
    Beiträge:
    20.842
    Ort:
    San Francisco | Sunnyvale
    AW: Schwere UPnP-Lücke in Hunderten von Routermodellen

    Der eigentliche Skandal ist eher ein andere. Rapid7 stellt die Software Metasploit. Und die hatten mal Langeweile, nichts kam im Fernsehen also hat man gewürfelt. Und upnp hat dabei gewonnen. Also hat man sich die Source der Standardbibliothek abgeschaut und an einem Wochenende mit Static-Code-Analysis Tools zig Fehler gefunden. Und diese Schwachstellen veröffentlicht.

    Ich bin absolut sicher, dass andere Organisationen das schon vorher gemacht haben. Und die Lücken werden garantiert schon seit Jahren ausgenutzt. Dieses billige Code kopieren ohne ihn zu verstehen wird immer gefährlicher. 50 Byte via Netzwerk an einen Samsung Fernseher gesendet und der muss anschließend zum Hersteller eingeschickt werden, um Teile der Platine auszutauschen. Mal sehen, wann man die ersten Autos so manipulieren kann. Mit einfachsten Tricks, wenn man mal aus Langeweile sich die Source von Standard-Bibliotheken anschaut, und nach kurzer Zeit diverse Standardfehler entdeckt.
     

Diese Seite empfehlen