ComputerBase Menü
Aktuelles

News Keine Reaktion: Google-Forscher veröffentlicht Lücke in TP-Link-Routern

Marcel55 schrieb:
Sicherheitslücken die lokalen Zugriff benötigen sind für 99% der Anwender schon mal kein Problem mehr.
Zum Vergrößern anklicken....
Lokaler Zugriff bedeutet nicht physischer Zugriff. Es reicht sich ne Malware einzufangen die vom Heim-PC aus die Schwachstelle am Router ausnutzt. Im Grunde muss das noch nicht mal groß versteckt werden, sowas kann schon ein simples Browser Addon sein oder ne Smartphone App.

Viel entscheidender über die Schwere der Sicherheitslücke ist die Verbreitung der Geräte. Gibts es genug davon, wird sich die Mühe gemacht. "Lokaler Zugriff" ist perse kein Gradmesser für die Relevanz einer Sicherheitslücke.
 
Achso, aber dennoch muss der Angreifer ja erstmal in meinem Netz sein....?!
 
nicht innerhalb von 90 Tagen reagiert hat, macht der Google-Forscher Matthew Garrett sie nach 90 Tagen öffentlich
Zum Vergrößern anklicken....

Kann mit mal bitte jemand erklären wer Google eigentlich zum Weltpolizisten für Sicherheitslücken erklärt hat so dass diese sich arrogant anmaßen dürfen nach einer selbst festgelegt Zeit Hersteller an den Pranger zu stellen?
 
GrooveXT schrieb:
Lokaler Zugriff bedeutet nicht physischer Zugriff. Es reicht sich ne Malware einzufangen die vom Heim-PC aus die Schwachstelle am Router ausnutzt. Im Grunde muss das noch nicht mal groß versteckt werden, sowas kann schon ein simples Browser Addon sein oder ne Smartphone App.

Viel entscheidender über die Schwere der Sicherheitslücke ist die Verbreitung der Geräte. Gibts es genug davon, wird sich die Mühe gemacht. "Lokaler Zugriff" ist perse kein Gradmesser für die Relevanz einer Sicherheitslücke.
Zum Vergrößern anklicken....
Nach meiner Definition bedeutet lokaler Zugriff dass man die Sicherheitslücke nur ausnutzen kann, wenn man auch Hand an den Router anlegen muss, nichts was über Netzwerkzugriff funktioniert.

Sonst ist das für mich kein lokaler Zugriff, da man es ja, so wie du es beschreibst, wo außen Angreifen kann in Kombination mit anderen Sicherheitslücken.


Recharging schrieb:
Nun richtet man es sich öffentlich aus, weil TP-Link den Allerwertesten nicht hoch bekommt wenigstens eine entsprechende Reaktion zu formulieren (geschweige denn die Lücke zu schließen).
Zum Vergrößern anklicken....
Das stimmt natürlich. TP-Link sollte da schon was tun.

Die Produkte sind was Preis/Leistung angeht schon sehr gut, aber einen Router von denen würde ich mir nach dem hier eher nicht ins Haus holen.
Habe aber selbst 3 TP-Link Switches hier am werkeln, da sehe ich kein großes Problem. Die tun auch seit Jahren was sie sollen.
 
  • Gefällt mir
Reaktionen: Recharging
leipziger1979 schrieb:
nach einer selbst festgelegt Zeit Hersteller an den Pranger zu stellen?
Zum Vergrößern anklicken....
90 Tage sind durchaus üblich. Selbst festgelegt ist es, ja, aber die Vergangenheit hat gezeigt, dass man Druck ausüben muss damit was passiert. Ebenso ist es üblich, dass Unternehmen um eine Fristverlängerung beten können. Dafür muss man aber anstalten machen, zu reagieren.

Und sorry, wenn man als namenhafter Hersteller es nach drei (!) Monaten nicht schafft, eine Lücke zu schließen, geschweige denn ÜBERHAUPT zu reagieren (DAS ist hier denke ich der wichtigste Punkt) kann man auch ruhig dafür bekannt gemacht werden.
 
  • Gefällt mir
Reaktionen: Smartbomb, TheNameless, Abtacha1982 und 2 andere
Peppi schrieb:
dieser Elektroschrott
Zum Vergrößern anklicken....

Das schöne an dem "Elektroschrott" von TP-Link ist aber das es kein Problem ist damit Open-WRT oder DD-WRT zu betreiben. Damit hält der "Elektroschrott" deutlich länger als die "Premium Produkte" anderer Hersteller.
Ergänzung ()

Marcel55 schrieb:
aber einen Router von denen würde ich mir nach dem hier eher nicht ins Haus holen.
Zum Vergrößern anklicken....

Hab ein Archer C7 am laufen und der läuft mit Open-WRT ohne Probleme :)
 
  • Gefällt mir
Reaktionen: Kalsarikännit
leipziger1979 schrieb:
...dass diese sich arrogant anmaßen dürfen nach einer selbst festgelegt Zeit Hersteller an den Pranger zu stellen?
Zum Vergrößern anklicken....
Das finde ich jetzt ehrlich gesagt nicht das allerschlechteste.
 
leipziger1979 schrieb:
Kann mit mal bitte jemand erklären wer Google eigentlich zum Weltpolizisten für Sicherheitslücken erklärt hat so dass diese sich arrogant anmaßen dürfen nach einer selbst festgelegt Zeit Hersteller an den Pranger zu stellen?
Zum Vergrößern anklicken....
warum ist das arrogant?
festgelegt mit beteiligten firmen, heist, die firmen haben diese 90 tage frist selbst verhandelt
besser gar nicht zu meden?
selbst googe hällt sich dran, beispiel hier^^
Hacker nutzen Zero-Day-Lücke in Chrome für Datendiebstahl
 
  • Gefällt mir
Reaktionen: Smartbomb und svelle
Wer setzt schon TP-Link Router mit OFW ein? Dachte die werden gekauft und dann mit Open-WRT oder DD-WRT bestückt? Zumindest handhabe ich das so ;)
 
  • Gefällt mir
Reaktionen: Haldi und Cool Master
leipziger1979 schrieb:
Kann mit mal bitte jemand erklären wer Google eigentlich zum Weltpolizisten für Sicherheitslücken erklärt hat so dass diese sich arrogant anmaßen dürfen nach einer selbst festgelegt Zeit Hersteller an den Pranger zu stellen?
Zum Vergrößern anklicken....
Jeder darf das.... nachdem man dem Hersteller einer angmessenen Frist zur Behebung einräumt.

Man darf Sicherheitslücken von Fremdfirmen nicht einfach veröffentlichen. Da könnte man auf Schadensersatz geklagt werden weil geschäftsschädigend.
Ein Gesetz/Richter spricht im Normalfall nicht von Tagen sondern einer "angemessenen Frist". Ob die 90 Tage ausjudiziert wuren oder Google von nem Anwalt empfohlen wurde... wer weiß das.

Wenn man mit Google Chrome auf den Router kommt ist das schon relevant.
 
Che-Tah schrieb:
Ob die 90 Tage ausjudiziert wuren oder Google von nem Anwalt empfohlen wurde... wer weiß das.
Zum Vergrößern anklicken....

90 Tage sind Industriestandard. Damit kann man ohne Probleme ein Firmware Update bringen, zumindest für ein Router.
 
Marcel55 schrieb:
Nach meiner Definition bedeutet lokaler Zugriff dass man die Sicherheitslücke nur ausnutzen kann, wenn man auch Hand an den Router anlegen muss, nichts was über Netzwerkzugriff funktioniert.

Sonst ist das für mich kein lokaler Zugriff, da man es ja, so wie du es beschreibst, wo außen Angreifen kann in Kombination mit anderen Sicherheitslücken.
Zum Vergrößern anklicken....
Lokal beutet, wie im Text auch erläutert, Zugriff vom inneren, lokalen Netzwerk. Was du darunter verstehst ist physischer Zugriff. Alles was einen physischen Zugriff bedingt ist keine Sicherheitslücke. Mit physischem Zugang kann so ziemlich jedes System kompromittieren werden.
 
  • Gefällt mir
Reaktionen: FranzvonAssisi
Kann jeder sehen wie er will, aber wundert mich bei TP-Link ehrlich gesagt nicht. Von denen halte ich persönlich nicht viel; läuft bei mir nur als Billig-Hersteller.
 
Marcel55 schrieb:
Nach meiner Definition bedeutet lokaler Zugriff dass man die Sicherheitslücke nur ausnutzen kann, wenn man auch Hand an den Router anlegen muss, nichts was über Netzwerkzugriff funktioniert.
Zum Vergrößern anklicken....
Jein. Lokaler Zugriff bedeutet in dem Falle das lokale Netzwerk - LAN steht ja nun mal für Local Area Network. Wie gesagt, laut der Beschreibung lässt sich über ein Debug-Protokoll, das wohl sehr gut dokumentiert sein soll, aus dem lokalen Netzwerk ein Update der Konfiguration einspielen, die dann wiederum die Angriffsfläche abermals vergrößert.

Die Tatsache, dass google scheinbar "einfach so" nach Sicherheitslücken sucht, finde ich zwar einerseits gut, weil selbige sonst unter Umständen nie oder zumindest (sehr) viel später aufgedeckt werden, aber andererseits finde ich es trotzdem ein wenig befremdlich. Ich kann @leipziger1979 's Empörung da also ein Stück weit verstehen. Sitzen denn die "Google-Forscher" nu den ganzen lieben langen Tag vor ihrem PC und suchen aktiv nach Sicherheitslücken in x-beliebigen Geräten? Und warum? Als Dienst an der (Internet-)Menschheit? Und was ist, wenn sie eine finden, die für Google selbst einen besonderen Nutzen haben könnte? Man muss immer noch bedenken, dass Google ein stark gewinnorientiertes Unternehmen ist, auch wenn die Außendarstellung oftmals ein anderes Bild zeichnet bzw. zeichnen soll. Auf blauen Dunst hin Sicherheitslücken in Fremdsystemen zu suchen, klingt daher schon nach "White Hats" - sofern wirklich in allen Fällen mit offenen Karten gespielt wird.
 
  • Gefällt mir
Reaktionen: Darkscream
GrooveXT schrieb:
Lokaler Zugriff bedeutet nicht physischer Zugriff. Es reicht sich ne Malware einzufangen die vom Heim-PC aus die Schwachstelle am Router ausnutzt.
Zum Vergrößern anklicken....

Ernsthaft? Wenn ein Meteor auf die Erde zurast mache mir keine Sorgen mehr über das Licht im Flur das ich vergessen habe auszuschalten.

Sicherlich sollten alle Geräte jeder für sich "sicher" sein aber wenn ein PC gekapert wurde, dann wäre eine Schwachstelle meine kleinste Sorge. Wozu den Umweg über eine Schwachstelle wenn man über den Rechner einfacher einen berechtigten Zugriff bekommt?
 
leipziger1979 schrieb:
Kann mit mal bitte jemand erklären wer Google eigentlich zum Weltpolizisten für Sicherheitslücken erklärt hat so dass diese sich arrogant anmaßen dürfen nach einer selbst festgelegt Zeit Hersteller an den Pranger zu stellen?
Zum Vergrößern anklicken....

Zu Anfangszeiten als Sicherheitslücken finden Hobbysport war gab es Stimmen die eine sofortige Veröffentlichung als den einzigen Weg sah. Jetzt ist es wohl ein einträgliches Geschäft geworden rund um Kriminellen, Geheimdiensten, Spielekindern und Wissenschaftlern. Ich finde 90 Tage nicht unangemessen. Wer in dieser Frist einen Fehler nicht behoben bekommt dem fehlt die Kompetenz, um in diesem Metier zu überleben und sollte sich andere Betätigungsfelder suchen. Genauso wie Autohersteller wenn sie keine funktionierende Bremsen konstruiert bekommen. Die schwerste Arbeit, nämlich das Finden von Fehlern wurde ja freundlicherweise von jemandem anders erledigt. Ganz kostenlos.

Die Geschäftsgrundlage von Google ist ein funktionierendes Internet. Dass sich jemand findet der die Bemühungen diese Infrastruktur zu schützen kritisiert finde ich erstaunlich.

Hier klingt es nach den Boten erschießen der schlechte Nachricht überbringt.

Ansonsten, was wäre die Alternative? Die Lücke so lange verschweigen bis ein Snowden meldet diese Lücke wird seit Jahren genutzt? Oder bis eine Welle von Verschlüsselungstrojaner das halbe Land lahmlegt?
 
  • Gefällt mir
Reaktionen: s0UL1, Transistor 22 und bad_sign
Es betrifft doch jeden Hersteller irgendwann mal... Die FritzBoxen waren doch auch schon dran.
Wenn's danach geht, darf man sich doch gar nix derartiges kaufen...
Ich habe 2x Archer C7 und die laufen seit Jahren problemlos.
 
Ob Google sich zu Recht als "Weltpolizist" (macht der Amerikaner nun mal gerne) zeigen muß, lassen wir mal so stehen.

So wie ich den Artikel verstanden hab, hat sich TP-Link ja noch nicht einmal innerhalb der 90 Tages Frist gemeldet. Und das wohl nicht zum ersten Mal.

Damit zeigt TP-Link, dass ihnen ihre Kundschaft relativ egal ist.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

Frank
News Google legt Lücke in Windows 8.1 offen, Microsoft verärgert
10 11 12
Antworten
232
Aufrufe
27.943
c137
C
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz