[English]Ich stelle es mal kurz hier im Blog ein, da möglicherweise Leute aus dem Kreis der Leserschaft die Desktop-Anwendung EdgeRover von Western Digital unter macOS oder Windows einsetzen. Die Schwachstelle CVE-2022-22988 in älteren Versionen der App ermöglicht Angreifern erhöhte Rechte unter den genannten Betriebssystemen zu erlangen. Der Hersteller hat ein Update zum Schließen der Schwachstelle bereitgestellt.
Anzeige
Die EdgeRover Desktop-Anwendung ist eine zentralisierte Verwaltungslösung für Western Digital- und SanDisk-Produkte, die mehrere digitale Speichergeräte unter einer einzigen Verwaltungsoberfläche vereint. Vom Hersteller heißt es dazu:
EdgeRover™ ist eine neue, innovative App zur Verwaltung persönlicher Inhalte, die von Western Digital, einem führenden Anbieter von Datenspeicherlösungen entwickelt wurde.
Die Desktop-App umfasst die hier gezeigten kostenlosen Funktionen. Sie können ein Verzeichnis aller digitalen Dateien erstellen, die auf Ihrem Mac- oder Windows-Computer und unterstützten externen Laufwerken2 gespeichert sind, und Inhalte bequem suchen, durchsuchen und wiedergeben.
Die proprietäre Softwarelösung verspricht die Benutzerfreundlichkeit und den Komfort zu erhöhen. Sie bietet eine Suche nach Inhalten, filtern von Kategorien, ermöglicht die Zugriffsberechtigungen zu verwalten und mehr. Dummerweise ermöglicht die App in älteren Versionen eine lokale Privilegienerhöhung unter macOS und Windows. Ich bin u.a. über den nachfolgenden Tweet von Bleeping Computer auf den Sachverhalt gestoßen. Die Kollegen haben diesen hier aufbereitet.
Western Digital hat zum 18. März 2022 einen arg knappen Sicherheitshinweis zur Schwachstelle CVE-2022-22988 veröffentlicht. Darin heißt es, dass EdgeRover anfällig für eine Directory Traversal-Schwachstelle war. Diese ermöglichte es einem Angreifer, eine lokale Privilegienerweiterung vorzunehmen und die grundlegende Dateisystem-Sandbox zu umgehen. Wenn diese Schwachstellen erfolgreich ausgenutzt werden, kann dies zur Offenlegung vertraulicher Informationen oder zur Verweigerung von Diensten führen. Von Western Digital gibt es seit dem 10. März 2022 Updates der App, die die Schwachstelle schließen.
Anzeige
Anzeige