{"id":263596,"date":"2022-03-22T10:55:28","date_gmt":"2022-03-22T09:55:28","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=263596"},"modified":"2022-03-22T11:05:30","modified_gmt":"2022-03-22T10:05:30","slug":"schwachstelle-cve-2022-22988-in-western-digital-edgerover-desktop-anwendung-ermglicht-admin-rechte-macos-windows","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/03\/22\/schwachstelle-cve-2022-22988-in-western-digital-edgerover-desktop-anwendung-ermglicht-admin-rechte-macos-windows\/","title":{"rendered":"Schwachstelle CVE-2022-22988 in Western Digital EdgeRover Desktop-Anwendung ermöglicht Admin-Rechte (macOS, Windows)"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Ich stelle es mal kurz hier im Blog ein, da m\u00f6glicherweise Leute aus dem Kreis der Leserschaft die Desktop-Anwendung EdgeRover von Western Digital unter macOS oder Windows einsetzen. Die Schwachstelle CVE-2022-22988 in \u00e4lteren Versionen der App erm\u00f6glicht Angreifern erh\u00f6hte Rechte unter den genannten Betriebssystemen zu erlangen. Der Hersteller hat ein Update zum Schlie\u00dfen der Schwachstelle bereitgestellt.<\/p>\n

<\/p>\n

\"\"Die EdgeRover<\/a> Desktop-Anwendung ist eine zentralisierte Verwaltungsl\u00f6sung f\u00fcr Western Digital- und SanDisk-Produkte, die mehrere digitale Speicherger\u00e4te unter einer einzigen Verwaltungsoberfl\u00e4che vereint. Vom Hersteller hei\u00dft es dazu:<\/p>\n

EdgeRover\u2122 ist eine neue, innovative App zur Verwaltung pers\u00f6nlicher Inhalte, die von Western Digital, einem f\u00fchrenden Anbieter von Datenspeicherl\u00f6sungen entwickelt wurde.<\/p>\n

Die Desktop-App umfasst die hier<\/a> gezeigten kostenlosen Funktionen. Sie k\u00f6nnen ein Verzeichnis aller digitalen Dateien erstellen, die auf Ihrem Mac- oder Windows-Computer und unterst\u00fctzten externen Laufwerken2<\/a><\/sup> gespeichert sind, und Inhalte bequem suchen, durchsuchen und wiedergeben.<\/p><\/blockquote>\n

Die propriet\u00e4re Softwarel\u00f6sung verspricht die Benutzerfreundlichkeit und den Komfort zu erh\u00f6hen. Sie bietet eine Suche nach Inhalten, filtern von Kategorien, erm\u00f6glicht die Zugriffsberechtigungen zu verwalten und mehr. Dummerweise erm\u00f6glicht die App in \u00e4lteren Versionen eine lokale Privilegienerh\u00f6hung unter macOS und Windows. Ich bin u.a. \u00fcber den nachfolgenden Tweet<\/a> von Bleeping Computer auf den Sachverhalt gesto\u00dfen. Die Kollegen haben diesen hier<\/a> aufbereitet.<\/p>\n

\"Security:<\/a><\/p>\n

Western Digital hat zum 18. M\u00e4rz 2022 einen arg knappen Sicherheitshinweis<\/a> zur Schwachstelle CVE-2022-22988<\/a> ver\u00f6ffentlicht. Darin hei\u00dft es, dass EdgeRover anf\u00e4llig f\u00fcr eine Directory Traversal-Schwachstelle war. Diese erm\u00f6glichte es einem Angreifer, eine lokale Privilegienerweiterung vorzunehmen und die grundlegende Dateisystem-Sandbox zu umgehen. Wenn diese Schwachstellen erfolgreich ausgenutzt werden, kann dies zur Offenlegung vertraulicher Informationen oder zur Verweigerung von Diensten f\u00fchren. Von Western Digital gibt es seit dem 10. M\u00e4rz 2022 Updates der App, die die Schwachstelle schlie\u00dfen.<\/p>\n