Das Unternehmen Rapid7 hat Lücken in einer Bibliothek des UPnP-Standards (Universal Plug and Play) entdeckt, die 40 bis 50 Millionen Router, Netzwerkfestplatten und andere Netzwerk-taugliche Geräte betreffen könnte. Mittels Buffer Overflow können Angreifer Schadcode über das Web einschleusen.

Das IT-Sicherheitsunternehmen Rapid7 (detaillierte Beschreibung als PDF) hat schwerwiegende Lücken in der Bibliothek libupnp entdeckt. Diese wird in einer Vielzahl von Netzwerk-fähigen Geräten verwendet, die den UPnP-Standard nutzen, wie etwa Router und Netzwerkfestplatten. Rapid7 geht davon aus, dass 40 bis 50 Millionen Geräte betroffen sind.

Die Lücke soll in allen libupnp-Bibliotheken zu finden sein, die vor der Versionsnummer 1.6.17 veröffentlicht wurden. Hat das Gerät ein WAN-Interface, wie etwa Router, kann über das Internet mittels Buffer Overflow Schadcode eingeschleust werden. Laut dem US-CERT wäre es so etwa möglich, über das Internet Zugriff auf ein privates Netzwerk zu erlangen.

Mehr Infos auf der Futurezone