Abo
  • Services:
Anzeige
Mit Kexec lässt sich Secure Boot immer noch umgehen.
Mit Kexec lässt sich Secure Boot immer noch umgehen. (Bild: Daniel Pook/Golem.de)

UEFI Kexec bereitet Secure Boot weiter Probleme

Mit Kexec lassen sich leicht laufende Kernel ersetzen und anschließend nutzen. Unter Verwendung von UEFI mit Secure Boot verursacht dies aber nach wie vor Sicherheitsprobleme, eventuell sogar für Windows.

Anzeige

Die UEFI-Funktion Secure Boot soll Rechner eigentlich sicherer machen, indem der Boot-Vorgang durch einen Schlüssel verifiziert und abgesichert wird. Nach anfänglichen Problemen mit Secure Boot unterstützen mittlerweile auch viele Linux-Systeme diese Technik. Doch die Kexec-Funktion, mit der einfach laufende Kernel durch andere ersetzt werden können, kann nach wie vor dazu verwendet werden, diesen Sicherheitsmechanismus zu unterlaufen, worauf Kernel-Entwickler Matthew Garrett erneut hinweist.

Kexec startet unsignierten Code

Bereits im Januar dieses Jahres machte Garrett auf die mit Kexec verbundenen Probleme im Zusammenhang mit Secure Boot aufmerksam. Zudem stellte der Entwickler Patches bereit, die die Ausführung von Kexec in einer Secure-Boot-Umgebung verhindern. Diese sind allerdings nicht im Hauptzweig des Linux-Kernels eingepflegt und werden nicht von allen Distributionen genutzt.

So kann also auf einem Linux-System, das die Secure-Boot-Kette einhält, dennoch jeder unsignierte Kernel samt Modulen ausgeführt werden, solange die Ausführung von Kexec erlaubt ist. Zwar habe es in der Vergangenheit einige Versuche gegeben, diese Situation zu verbessern, doch eine zufriedenstellende Lösung dazu gebe es bis jetzt noch nicht, schreibt Garrett.

Kexec könnte Windows-Secure-Boot umgehen

Außerdem weist Garrett auf die Möglichkeit hin, dass mit Kexec nicht nur der Linux-Kernel, sondern sämtlicher Code gestartet werden kann, vermutlich auch ein Windows-Kernel. Das sei wohl trotz einigem Aufwand technisch durchaus denkbar, schreibt Garrett.

Dies ermöglicht es theoretisch, einen Windows-Kernel zu starten, der scheinbar mit Secure Boot gestartet wurde, tatsächlich aber Treibersignaturen nicht überprüft und jedweden Code ausführen kann. Dafür brauche es nur einige wenige Programme, die zusammen wohl nicht viel mehr als 10 MByte Speicher belegen und somit auf der EFI-System-Partition abgelegt werden könnten, um den Windows-Bootloader zu ersetzen.

Um derartige Szenarien zu verhindern, gibt es laut Garrett nach wie vor nur die Möglichkeit, das Laden von Kexec zu unterbinden, wie dies etwa beim Fedora-Projekt geschieht.


eye home zur Startseite
Thaodan 05. Dez 2013

Nur das x86, x86_64 die gleiche Architektur ist.

nille02 05. Dez 2013

Eher das ein Linux Kernel das nicht berücksichtigt. Ich gehe mal davon aus, dass wegen...

nille02 04. Dez 2013

Sicher Klasse wenn die Linux Secure Boot Zertifikate zurückgezogen werden.



Anzeige

Stellenmarkt
  1. Daimler AG, Stuttgart-Fellbach
  2. IT-Dienstleistungszentrum Berlin, Berlin
  3. German RepRap GmbH, Feldkirchen bei München
  4. Osmo Holz und Color GmbH & Co. KG, Göttingen


Anzeige
Blu-ray-Angebote
  1. (u. a. John Wick, Leon der Profi, Auf der Flucht, Das Schweigen der Lämmer)
  2. (u. a. Der Hobbit 3, Der Polarexpress, Ice Age, Pan, Life of Pi)
  3. (u. a. Die große Bud Spencer-Box Blu-ray 16,97€, Club der roten Bänder 1. Staffel Blu-ray 14...

Folgen Sie uns
       


  1. Spielebranche

    Shadow Tactics gewinnt Deutschen Entwicklerpreis 2016

  2. Erotik-Abo-Falle

    Verdienen Mobilfunkbetreiber an WAP-Billing-Betrug mit?

  3. Final Fantasy 15

    Square Enix will die Story patchen

  4. TU Dresden

    5G-Forschung der Telekom geht in Entertain und Hybrid ein

  5. Petya-Variante

    Goldeneye-Ransomware verschickt überzeugende Bewerbungen

  6. Sony

    Mehr als 50 Millionen Playstation 4 verkauft

  7. Weltraumroboter

    Ein R2D2 für Satelliten

  8. 300 MBit/s

    Warum Super Vectoring bei der Telekom noch so lange dauert

  9. Verkehrssteuerung

    Audi vernetzt Autos mit Ampeln in Las Vegas

  10. Centriq 2400

    Qualcomm zeigt eigene Server-CPU mit 48 ARM-Kernen



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Canon EOS 5D Mark IV im Test: Grundsolides Arbeitstier mit einer Portion Extravaganz
Canon EOS 5D Mark IV im Test
Grundsolides Arbeitstier mit einer Portion Extravaganz
  1. Video Youtube spielt Livestreams in 4K ab
  2. Ausgabegeräte Youtube unterstützt Videos mit High Dynamic Range
  3. Canon EOS M5 Canons neue Systemkamera hat einen integrierten Sucher

Named Data Networking: NDN soll das Internet revolutionieren
Named Data Networking
NDN soll das Internet revolutionieren
  1. Geheime Überwachung Der Kanarienvogel von Riseup singt nicht mehr
  2. Bundesförderung Bundesländer lassen beim Breitbandausbau Milliarden liegen
  3. Internet Protocol Der Adresskollaps von IPv4 kann verzögert werden

Travelers Box: Münzgeld am Flughafen tauschen
Travelers Box
Münzgeld am Flughafen tauschen
  1. Apple Siri überweist Geld per Paypal mit einem Sprachbefehl
  2. Soziales Netzwerk Paypal-Zahlungen bei Facebook und im Messenger möglich
  3. Zahlungsabwickler Paypal Deutschland bietet kostenlose Rücksendungen an

  1. Re: sieht kacke aus

    ableton | 01:02

  2. Bald auf RTL: Robot Wars - Space Edition. kwT

    ChristianKG | 01:00

  3. Re: Wir haben den auch direkt eingestellt...

    procrash | 00:59

  4. Re: CPU Entwicklung eh lächerlich...

    sg-1 | 00:57

  5. Einnahmen durch Werbung

    Hades85 | 00:54


  1. 22:00

  2. 18:47

  3. 17:47

  4. 17:34

  5. 17:04

  6. 16:33

  7. 16:10

  8. 15:54


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel