D-Link kündigt Sicherheits-Patch für einige Produkt-Serien an
Sicherheitsforscher haben eine Lücke in einer Webcam von D-Link entdeckt, über die Angreifer das Administrator-Kennwort überschreiben können. Die Schwachstelle soll noch weitere Produkte des Herstellers bedrohen.
(Bild: dpa, Julian Stratenschulte)
- Dennis Schirrmacher
Über eine Sicherheitslücke in der DCS-930L-Webcam von D-Link können Angreifer aus der Ferne das Admin-Passwort überschreiben. Über diesen Weg erlangen sie die Kontrolle über das Gerät. Davor warnten Sicherheitsforscher von Senrio bereits vor rund einem Monat; D-Link hat nun eine abgesicherte Firmware für den 15. Juli angekündigt.
Die Schwachstelle findet sich in der Anmeldemaske von betroffenen D-Link-Produkten und Angreifer können dem Dynamic Configuration Protocol (DCP) Schad-Code unterjubeln. Dafür müssen sie einen Speicherfehler provozieren.
Welche Modelle sind noch betroffen?
Wie weitere Untersuchungen zeigen, klafft die Lücke noch in fünf weiteren D-Link-Kameras; den Sicherheitsforschern zufolge könnte die verwundbare Firmware noch bei weiteren Produkten des Herstellers zum Einsatz kommen. Die Webseite Securityaffairs.co behauptet, dass die Lücke in über 120 Geräten klafft. Das bestätigt D-Link nicht direkt; sie verweisen lediglich darauf, dass es noch keine Liste von betroffenen Modellen gäbe.
Der Hersteller weißt wiederum ausdrücklich darauf hin, dass alle mit der mydlink-Cloud aktivierten Access Points, Modems und Router nicht von der Schwachstelle bedroht sind. (des)