Een beveiligingsupdate die netwerkfabrikant D-Link voor verschillende routers uitbracht blijkt niet te werken en introduceert een nieuwe kwetsbaarheid, zo claimt de onderzoeker die allerlei kwetsbaarheden in de routers ontdekte. Beveiligingsonderzoeker Craig van het blog /dev/ttys0 ontdekte begin dit jaar verschillende beveiligingsproblemen in de D-Link DIR-645 router, waar D-Link uiteindelijk een update voor uitbracht.

Begin deze maand vond Craig dezelfde problemen in de DIR-890L router. Gisteren kwam D-Link met een update voor dit model, waarop de onderzoeker besloot te controleren of de problemen ook wel echt zijn opgelost. Craig ontdekte dat de patches voor de DIR-645 en DIR-890L identiek zijn. Tot zijn grote verbazing bleken alle problemen gewoon nog aanwezig te zijn, ook al stelt D-Link dat de updates de kwetsbaarheden juist verhelpen.

Verder bleek dat de updates ook een nieuw beveiligingsprobleem introduceren. Ongeauthenticeerde gebruikers kunnen dan ook nog steeds allerlei acties op de router uitvoeren. "Maar ik denk dat niemand het iets uitmaakt dat een ongeauthenticieerde gebruiker informatie over systemen op het interne netwerk kan opvragen, systeeminstellingen kan bekijken en wijzigen of de router naar de standaardinstellingen kan resetten", reageert de onderzoeker sarcastisch.