Du verwendest einen veralteten Browser. Es ist möglich, dass diese oder andere Websites nicht korrekt angezeigt werden. Du solltest ein Upgrade durchführen oder ein alternativer Browser verwenden.
Ich hab erst jetzt den referenzierten Beitrag (http://www.ip-phone-forum.de/showthread.php?t=268321) genauer angesehen. Die Seitenaddresse mit integriertem wget scheint genau das Problem Zugriff von innen via präperierter Webseite abzutesten. Da meine Box bereits gepachted ist, dürfte es hier nicht mehr gehen - was ja gut ist. Aus Neugierde würde ich aber gerne wissen, ob meine Vermutung dass derselbe Zugriff auf einer nicht gepatchten, d.h. verletzbaren Box sehr wohl Daten auslesen kann. Wenn ja, dann dürfte wohl genau dieser Fehler das Problem gewesen sein.
(Falls wer in einer Anworet oder dem Ergenis eines Tests auf einer nicht patchten Box ein Sicherheitsproblem für andere sieht - bitte NICHT antworten. Kann's mir zwar nicht wirklich vorstellen, aber vielleicht überseh ich ja was.)
Soweit ich das bis jetzt verstanden habe, nutzt diese Lücke einen Mechanismus von dem alle
Webbasierten Anwendungen oder Geräte betroffen sein könnten.
So wäre auch ein Angriff, wie jüngst berichtet wurde, auf SmartTVs vorstellbar.
Oder Lap-, Net- ,Notebooks und Pads. Smartfons, Kühlschränke, SPS ...
Also ein Aufruf dieser "Seite" vom INTRA-Net aus bewirkt bei mir nur dem Aufruf der FB Login Seite. Allerdings ist die FB bereits gepacjted (aktuelle Labor für 7270 V2).
Ergo - wenn ich bei der Verwendung nichts falsch gemacht habe ist entweder der Link nicht "gefährlich" (= zeigt keine Geheimnisse an) oder der Patch wirkt.
Soweit ich das bis jetzt verstanden habe, nutzt diese Lücke einen Mechanismus von dem alle Webbasierten Anwendungen oder Geräte betroffen sein könnten.
So wäre auch ein Angriff, wie jüngst berichtet wurde, auf SmartTVs vorstellbar. Oder Lap-, Net- ,Notebooks und Pads. Smartfons, Kühlschränke, SPS ...
Die grundsätzliche Kategorie des Fehlers, der hier gemacht wurde, kann jeden Webserver betreffen, oder noch allgemeiner jedes Programm, das Daten von einem anderen Programm annimmt, ob als Server, als Client oder als Programm, das eine Datei liest.
Der konkrete Fehler, der hier gemacht wurde, betrifft nur AVM. Dass es kein prinzipielles Problem ist, solche Fehler zu vermeiden zeigt schon, dass innerhalb kurzer Zeit Updates kamen, die diesen Fehler nicht mehr enthalten.
Konkret nehmen aber viele Hersteller die Sicherheit nicht so ernst, und als Folge sind tatsächlich Angriffe über Kühlschränke, Drucker, Telefone usw. denkbar.
Ein Kennwort-geschützter Webserver sollte keinerlei Deep-Links zulassen, das wäre finsterstes Web-Mittelalter des letzten Jahrtausends. Aber das passt dann irgendwie perfekt zu der (ehemals?) weit offenen Telnet-über-HTTP-Schnittstelle.
Nein, sind sie nicht.
Aber sie haben vorbildlich reagiert.
Hätte ich einen Schaden von €2400 dann hätte AVM eine Mitschuld daran.
Es musste erst ein Reverse Engineer einen Vergleich zweier Firmwares machen,
um diese Sicherheitsspalte, ja Sicherheitscanyon zu erkennen.
Auf die Idee sind vier externe "Sicherheitsfirmen" nicht gekommen.
Deswegen ist AVM noch lange nicht aus der Verantwortung.