AVM CeBIT Neuheiten: FritzBox 7590 & FritzBox 6590 Cable
Verheimlicht und verharmlost?
Heise hatte die Schwachstelle dann ordnungsgemäß gemeldet und auf eine Reaktion gehofft. AVM hat daraufhin ein automatisches Update verteilt, das die Lücke wieder schloss. In den Release-Notes zu dem besagten neuen Update war der Fix des Exploits aber nicht im Einzelnen aufgeführt.Proof-of-Concept
Hintergrund ist ein Proof-of-Concept von Heise, der das Einschleusen und Ausführen von Code bei den Fritzbox-Modellen 7390, 7490 und 7580 mit dem Betriebssystem FritzOS 6.80/6.81 zeigte. AVM konnte den Exploit laut dem Bericht nicht nachvollziehen und soll mitgeteilt haben, dass es sich bei der Schwachstelle nur um eine Theorie handele, die "bei kundenüblichem Einsatz der Produkte praktisch unmöglich sei".AVM hat dazu heute eine entsprechende Stellungnahme veröffentlicht. Darin heißt es:
"In den Medien wird aktuell über eine mögliche Schwäche in der veralteten FritzOS-Version 6.80/6.81 berichtet. Die Version war nur kurzzeitig im Markt und es ist kein Fall von Missbrauch bekannt. Auch nach intensiven Untersuchungen durch AVM zeigt sich keine Möglichkeit dazu. Die Version 6.80/6.81 war nur kurzfristig im Markt und ist per Auto-Update vollständig durch die Version 6.83 ersetzt worden."
Besitzer der Fritzbox-Modelle 7390, 7490 und 7580 sollten daher prüfen, ob sie das Firmware-Update bereits erhalten haben. Die aktuelle Versionsnummer vom FritzOS lässt sich dabei für Nutzer einfach unter fritz.box einsehen.