AVM dicht Fritzbox-lek
Bij een analyse van de laatste firmwareupdate voor de Fritzbox kwam verrassend genoeg aan het licht dat de FritzOS-versie 6.83 een fatale, voordien onbekende programmeerfout verhielp die tot een bufferoverflow leidde. Een aanvaller kan dergelijke fouten bijna altijd gebruiken om een systeem over te nemen. Omdat de getroffen dienst als root draait, zijn er dan manipulatiemogelijkheden te over: hij kan bijvoorbeeld het dataverkeer meelezen of de VoIP-aansluiting misbruiken voor betaalde diensten.
De ontdekkers demonstreerden het probleem met een proof-of-concept-exploit. Volgens AVM was het binnensluizen en uitvoeren van code via internet bij normaal gebruik praktisch onmogelijk, maar de makers van de demo-exploit stellen dat daar met niet al te veel moeite een betrouwbare aanvalstool van te ontwikkelen is. De Fritzbox-modellen 7390, 7490 en 7580 met de firmwareversies 6.80 en 6.81 zijn door de buffer-overflow getroffen. Met de Fritzbox-versies voor kabelaansluitingen is volgens AVM niets aan de hand. Het installeren van FritzOS 6.83 verhelpt het probleem.
Als je een Fritzbox hebt en in de toekomst op safe wilt spelen, moet je controleren of het updatemechanisme van de router actief is. Die instelling staat in de webinterface van de Fritzbox bij 'System / Update / Automatic Update': 'Notify me about new versions of FRITZ!OS and install necessary updates automatically (recommended)'. Met de andere optie krijg je op de overzichtspagina wel te zien dat er een update beschikbaar is, maar die moet je bij 'FRITZ!OS Version' dan zelf installeren. Volgens AVM is het aan het updatemechanisme te danken dat er momenteel amper nog routers met dit probleem zijn. (nkr)