Über einen Eintrag im teilte Microsoft mit, dass man jüngst eine „eine kleine, aber wichtige Änderung“ durchgeführt habe. Diese betrifft die Art und Weise wie OneDrive sowie der Webmaildienst Office.com mit Links zu geteilten Inhalten umgehen. Der Konzern betont, dass das für die alltägliche Nutzung der beiden Services keine Auswirkungen hat, man aber im Backend die Sicherheit von geteilten Dokumenten erhöht habe.
Microsoft schreibt, dass die Lücke es einem externen Server-Administrator ermöglicht hat, unter bestimmten Bedingungen auf von Nutzern geteilte Inhalte zugreifen zu können. Ein Kunde, der ein Hyperlink-enthaltendes Dokument geteilt oder bei einer entsprechenden gemeinsamen Datei einen Kommentar hinterlassen hat und der Empfänger den Hyperlink geöffnet hat, gab einem Admin so unwissend die Möglichkeit, darauf zugreifen zu können. Dieser unbeabsichtigte Zugriff zum Link wurde dem Admin über die Header-Informationen gewährt.
Microsoft betont allerdings, dass man bis zur Beseitigung dieser Schwachstelle keinerlei Berichte über unerlaubte Zugriffe erhalten habe. Nun wurde sie aber dennoch gestopft, was natürlich auch der Grund ist, warum man die Details dazu nun öffentlich gemacht hat.
Die Behebung dieser Anfälligkeit gilt ab sofort und für neu angelegte bzw. geteilte Dateien. Bei früher geteilten Dokumenten wird die Header-Information nicht mehr beim Anklicken eines Links mitgeschickt. Microsoft hat sich bewusst gegen die Deaktivierung der (bzw. aller) bisher geteilten Links entschieden, da nur eine kleine Anzahl der OneDrive-Nutzer von diesen doch eher sehr speziellen Umständen betroffen sei. Dies überlässt man den Nutzern, diese können die geteilten Dateien deaktivieren und neu anlegen. Das schadet sicherlich nicht, ein Muss ist es aber nicht.
