Sicherheitslücke in OneDrive geschlossen: Zugriff auf geteilte Dokumente war möglich

In Microsofts Cloudspeicher OneDrive steckte bis vor Kurzem eine Sicherheitslücke, die unter bestimmten Umständen fremden Zugriff auf geteilte Dokumente ermöglichte. Im OneDrive-Blog informiert Microsoft über das Problem und gibt gleichzeitig an, das keine Fälle bekannt seien, in denen die Schwachstelle tatsächlich ausgenutzt worden sei. Gleichwohl müssen Nutzer aber selbst aktiv werden, um die Gefahr wirklich restlos zu beseitigen.

Die Lücke war recht speziell: Wenn Person A mit Person B ein Dokument teilte, welches einen Hyperlink enthielt, und Person B diesen anklickte, dann wurden an die Ziel-Webseite im Rahmen des Aufrufs auch Informationen übertragen, mit denen der Administrator der Ziel-Webseite wiederum selbst auf das geteilte Dokument hätte zugreifen können. Der Betreiber der Webseite hätte also von dieser Schwachstelle wissen und seine Logfiles durchstöbern müssen, um davon zu profitieren.

Weil das dann doch eher ein theoretisches Szenario ist, hat sich Microsoft auch dazu entschlossen, bestehende Datei-Freigaben nicht anzufassen. Man kann sich ausmalen, was es für Wellen geschlagen hätte, wenn mit einem Schlag alle Freigaben in OneDrive ausgeknipst worden wären.
Dokumente, die jetzt neu erstellt werden, sind gänzlich sauber. Bei bestehenden Freigaben für existierende Dokumente hat Microsoft den Aufruf eines eingebetteten Links so modifiziert, das die kritischen Informationen nicht mehr übertragen werden. Wer absolut auf Nummer sicher gehen will, dem empfiehlt Microsoft, seine Freigaben zu löschen und neu einzurichten.