В программном обеспечении ряда проводных и беспроводных маршрутизаторов D-Link выявлена опасная уязвимость, которая теоретически может использоваться злоумышленниками с целью захвата контроля над устройством.

Проблема, как сообщается в бюллетене eEye Digital Security, связана с ошибкой переполнения стека, возникающей при определённых условиях в службе Universal Plug and Play (UPnP). Для реализации нападения злоумышленнику необходимо отправить на потенциально уязвимый маршрутизатор сформированный специальным образом запрос M-SEARCH с чрезмерно длинным параметром (более 800 байт).

Специалисты компании eEye Digital Security отмечают, что, воспользовавшись дырой, атакующий может полностью захватить контроль над устройством и выполнить на нём произвольный программный код, например, инсталлировать собственную версию микропрограммы ("прошивки"). В результате может быть нарушена работа всей корпоративной сети.

Проблема актуальна для устройств D-Link DI-524, D-Link DI-604 Ethernet Broadband Router, D-Link DI-624, D-Link DI-784, D-Link EBR-2310 Ethernet Broadband Router, D-Link WBR-1310 Wireless G Router и D-Link WBR-2310 RangeBooster G Router. Примечательно, что о проблеме стало известно ещё в конце февраля, и тогда же соответствующая информация была направлена специалистам D-Link. Однако обновления производитель выпустил только сейчас. Загрузить апдейты можно с веб-сайта компании D-Link.