Blog / Sichersheitslücken behoben mit 1.1.4 Update
Cryptomator 1.1.4 für Windows, OS X und Linux behebt zwei (verwandte) Sicherheitslücken, mit denen es möglich war, Flash-Dateien in den Tresor einzuschleusen und diese über einen Browser auszuführen, der so die SOP “umgeht” (GitHub Issues 318 & 319) und Zugriff auf den Tresor erlangen kann. Danke an Lukas Reschke, der uns diese Schwachstellen gemeldet hat!
Weiterhin wurden Fehler im Zusammenhang mit Dropbox, Google Drive, Windows Laufwerksbuchstaben, die Windows Registry und WebDAV-Zugriff unter Linux behoben. Eine detaillierte Liste mit den geschlossenen Issues lässt sich hier einsehen.
Was kommt als Nächstes?
- Die Entwicklungen an der Android-App schreiten voran. Wenn alles gut läuft, rechnen wir mit einem ersten Beta-Release im nächsten Monat. Wir werden die Einladungslinks an diejenigen verschicken, die Interesse an einer Beta bekundet haben.
- Wir planen und entwickeln derzeit die Integration per FUSE/Dokany (alternativ wurde kürzlich PFM vorgeschlagen und wird von uns evaluiert). Hoffentlich sind wir in der Lage, zumindest eine erste Beta gegen Ende des Jahres zu veröffentlichen.
- Aufgrund dieser größeren Entwicklungen haben wir die kryptographisch relevanten Bibliotheken in cryptolib und cryptofs unter der GPL-Lizenz ausgelagert. Diese erleichtern uns die Entwicklungen der verschiedenen Apps und auch Dritte profitieren davon, die diese Bibliotheken unabhängig von unserer Hauptapplikation nutzen können. Es sei anzumerken, dass die Bibliotheken noch nicht final sind.
- Wir haben den Meilenstein 1.2 noch nicht geplant, aber das Feature wurde von unseren Nutzern schon häufig vorgeschlagen und ist derzeit der wahrscheinlichste Kandidat für das nächste größere Update. Danke für Ihr Feedback! 😄