Unautorisierter Dokumentenzugriff: Microsoft kittet Onedrive-Lücke

17. Juni 2014, 14:12
6 Postings

HTTP-Header lieferte Möglichkeit zur Umgehung von Sicherheitsmechanismen

IT-Riese Microsoft hat eine Lücke in seinem Cloudspeicherdienst Onedrive behoben. Diese hatte es ermöglicht den Betreibern von Seiten, die etwa in Dokumenten auf Onedrive verlinkt wurden, auf selbige zuzugreifen.

Header schickte Informationen mit

Das Problem: Klickte ein User auf Link zu einer Website in einem eigentlich nur für andere User über einen eindeutigen Link zugänglichen Dokument, wurden im Header des HTTP-Requests Informationen mitgeschickt, mit welchen sich die Sicherheitsschranken umgehen ließen, schreibt Heise.

Alte Links nicht deaktiviert

Bei künftig gespeicherten Dateien soll dies nicht mehr der Fall sein. Auch bei Links in älteren Dokumenten werden die betreffenden Informationen nicht mehr mitgeschickt. Denkbar ist allerdings, dass auf Basis der bisher schon erfolgten Seitenaufrufe solche Zugriffe noch erfolgen könnten.

Trotzdem deaktiviert Microsoft die URLs der betroffenen Dokumente nicht. Laut dem Onedrive-Betreiber ist nur ein kleiner Anteil der hinterlegten Dateien betroffen, zudem gäbe es keinen Hinweis, dass die Lücke je genutzt worden wäre. Wer sich absichern will, sollte die Freigabe für ältere Dokumente deaktivieren. (red, derStandard.at, 17.06.2014)

  • Microsoft hat das Leck Onedrive abgedichtet.
    foto: microsoft

    Microsoft hat das Leck Onedrive abgedichtet.

Share if you care.