|
|
|
|
||
           
      |
 |
Home Page : News : SOFTWARE : MusicCity dementiert Sicherheitslücke in Morpheus
(MPeX.net/gpel - 07.02.2002) - In Reaktion auf Berichte über eine fataler Sicherheitslücke in den Tauschclients von FastTrack P2P (wir berichteten) hat sich MusicCity, Betreiber von Morpheus, klar davon distanziert, daß der Firma entsprechende Hinweise vorlägen. Vielmehr spricht MusicCity auf seiner eigenen Website von einer anonymen Verleumdungskampagne gegenüber der ursprünglich berichtenden BBC und geht davon aus, daß die eigene Software keinerlei Sachwachstellen hat, die dazu dienen könnten an die nicht freigegenbenen Datenbenbereich der Nutzer zu gelanden. Obgleich eine Überprüfung dieser gesensetzlichen Aussagen schwerlich möglich ist, läßt sich vermuten, daß die Wahrheit sich irgendwo in der Mitte befindet. Das anerkannte Portal über Computersicherheit Securityfocus.com hat bereits seit Ende Juli 2001 einen sogentannten "Vunerability" (Verwundbarkeit) Eintrag in seiner gut gepflegten und stets aktuellen Datenbank über bekannte Sicherheitslücken in Netzwerkanwendungen. Dort geht es wörtlich um eine Dateienthüllungsanfälligkeit der bekannten FastTrack P2P Tauschbörsen KazaA, Morpheus und Grokster. Laut Securityfocus besteht ein Fehler in der Dateifreigaberoutine, die es ermöglicht das Verzeichnis einzusehen in dem die Downloads gespeichert werden, auch wenn dieses Verzeichnis nicht explizit freigegeben wurde. Würde man also persönliche Daten in dem sinnvollen Verzeichnis "Eigene Dateien" lagern und gleichzeitig dort seine Downloads von Morpheus speichern, so könnte es sein, daß dieses Verzeichnis ausgelesen werden kann. Securityfocus geht nicht drauf weitergehende Hinweise oder Beispielcode zu liefern, um die Sicherheitslücke testen zu können. Zumindest ist die Schwere, Richtung und mögliche Fehlerbehbung wesentlich klarer als bei dem vagen Hinweis von Anfang der Woche. Daß diese Lücke seit Ende Juli bekannt ist und seitdem weder von Entwickler FastTrack noch von einem der Client-Anbieter kommentiert worden ist erscheint bedauerlich. Zeigt es doch, daß Morpheus unter keinen Umständen eine, wenn auch noch so kleine, Sicherheitslücke zugeben will. Securityfocus und seine Quellen sind mit Sicherheit vertrauenswürdigere Hinweisgeber als ein anonymer Hinweis an einen öffentlichen, britischen Fernsehsender. Alles in allem scheint der bekannte Bug nicht besonders schwer zu wiegen. Im allgemeinen existieren für fast alle Internetanwendungen Sicherheitslücken der einen oder anderen Art. Für einen weitreichenden Schutz hilft hier wohl nur die Nutzung eines sicheren Dateisystems (ext, NFTS, usw.) in Kombination mit der Nutzung von unprivilierten Anwenderzugängen für unsichere Appikationen - sprich die Nutzung OS wie Linux, Windows NT/2000/XP, etc. mit den passenden Sicherheitseinstellungen. 
Meldung kommentieren
Meldung als eMail verschicken
|
|
|||||||||||||||
