Das experimentelle Update 1.2.0 für Windows, Mac OS X und Linux haben die Dropbox-Entwickler zum Testen bereitgestellt, das das kürzlich gemeldete Sicherheitsproblem beseitigen soll. Unberechtigte können sich durch das Auslesen der Konfigurationsdatei unbemerkt Zugang zu dem Online-Speicherdienst verschaffen und frei auf die gespeicherten Dateien zugreifen. Auch das nachträgliche Ändern des Passworts schützt nicht davor, wie der Sicherheitsexperte Derek Newton bei Tests herausfand.

Die Konfigurationsdatei config.db ist laut Newton nicht an das System gebunden und lässt sich folglich auf jedes andere System übertragen. Ein Trojaner könnte die Datei kopieren und sich später Zugang zu den in Dropbox gespeicherten Dateien verschaffen. Nun soll das Update verhindern, dass sich Angreifer mit Kopien der Datei Zugriff auf den Online-Speicher verschaffen können.

Die Version 1.2.0 führt darüber hinaus ein neues, verschlüsseltes Format für die lokal verwendete SQLite-Datenbank ein. Das führt nach Angaben der Entwickler leider dazu, dass einige Anwendungen mit Dropbox-Unterstützung nicht mehr funktionieren. Der Hersteller rät Anwendern, die das experimentelle Update schon testen wollen, ein Backup anzulegen.

(ez, hannover)

(siehe auch Heise News-Ticker :)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE