Sicherheitslücken in Sonos-Lautsprechersystemen ermöglichen das Einschleusen von Schadsoftware. Aktualisierungen sind erhältlich.
Hacker können bestehende Sicherheitslücken in Systemen von Sonos ausnutzen, um schädlichen Code einzufügen und diesen auf den Geräten auszuführen. Die notwendigen Updates sind bereits verfügbar.
Drei spezifische Sicherheitslücken wurden identifiziert, über die die Zero-Day-Initiative (ZDI) von Trend Micro in Zusammenarbeit mit Sonos kürzlich berichtet hat. Diese Schwachstellen werden zwar knapp nicht als kritisch eingestuft, können jedoch ohne vorherige Authentifizierung ausgenutzt werden.
Sonos: Drei hochriskante Sicherheitslücken
Die erste dieser Schwachstellen betrifft die unzureichende Überprüfung der Existenz von Objekten in SMB-Daten (aus Windows-Netzwerkfreigaben) bevor Operationen durch die Sonos-Software darauf ausgeführt werden (CVE-2025-1048, CVSS 8.8, Risiko „hoch„). Weiterhin gibt es ein Sicherheitsproblem im Umgang mit ID3-Tags in MP3-Dateien. Hier wird die Länge der vom Benutzer übergebenen Daten nicht ausreichend geprüft, bevor diese in einen Speicherbereich auf dem Heap geschrieben werden. Dies kann zu einem Buffer Overflow führen, durch den Schadcode eingeschleust und unter dem Benutzernamen „anacapa“ ausgeführt werden kann (CVE-2025-1049, CVSS 8.8, Risiko „hoch„).
Ein ähnliches Problem besteht bei der Verarbeitung von Daten aus HLS-Playlisten. Auch hier findet keine angemessene Überprüfung der Länge der eingegebenen Daten statt, was unzulässige Schreiboperationen außerhalb der zugewiesenen Datenstrukturen ermöglicht. Dies kann dazu führen, dass der Benutzer „anacapa“ ungewollt Schadcode ausführt (CVE-2025-1050, CVSS 8.8, Risiko „hoch„).
Laut den Einträgen des ZDI betreffen diese Schwachstellen die Sonos Era-300-Systeme. Eine Sicherheitsmitteilung von Sonos, die nun öffentlich zugänglich ist, gibt jedoch an, dass alle Sonos S1- und S2-Systeme, insbesondere die Systemversionen vor v16.6 (Build 83.1-61240) und Sonos S1-Versionen v11.15.1 (Build 57.22-61162), anfällig sind. Diese Schwachstellen wurden während des Pwn2Own-Events 2024 in Irland entdeckt. Sonos bietet eine Anleitung an, wie Benutzer die erforderlichen Updates installieren können.
Im vergangenen Jahr erlebte Sonos einen schwierigen Start mit einer neuen App, was das Unternehmen veranlasste, einen Sieben-Punkte-Plan zur Verbesserung der Prozesse und zur Wiederherstellung des Vertrauens der Nutzer einzuführen.
Ähnliche Artikel
- Nvidia-Schock: Sicherheitsleck ermöglicht Datenabfluss bei Grafiktreibern!
- Epic Games Launcher: Kritische Sicherheitslücke entdeckt! Nutzer in Gefahr
- Dringender Wechsel nötig: Diese FritzBox-Modelle sofort ersetzen!
- So machen Sie Ihre FritzBox unknackbar: Einmal einstellen, für immer sicher!
- iOS-Nutzer aufgepasst: Sonos Ace Kopfhörer erfordern Ortsfreigabe – Kein Update, kein Setup!
Experte für Popkultur und Filmfan, erkundet Max Jäger die Welt der Unterhaltung mit neugierigem und lockerem Blick. Er teilt gerne die Geschichten hinter den Stars und entschlüsselt die Trends, die die Medienlandschaft prägen.
