Linux-Kernel

Fehlerhafter USB-Treiber schleust Code ein

Ein Fehler in einem USB-Treiber kann genutzt werden, um Code mit Root-Rechten über den Linux-Kernel einzuschleusen. Dazu sind allerdings der physische Zugriff und ein speziell präpariertes USB-Gerät notwendig.

Artikel veröffentlicht am ,
Linux-Kernel: Fehlerhafter USB-Treiber schleust Code ein

Der USB-Treiber snd-usb-caiaq kann genutzt werden, um einen Linux-Rechner zu übernehmen. Der Exploit verwendet einen Bufferoverflow, der bei der Übergabe der Gerätebezeichnung mit mehr als 80 Bytes per strcpy() ausgelöst werden kann. Darüber kann Code in den Hauptspeicher eingeschleust und mit Kernel-, also Root-Rechten übernommen werden.

Stellenmarkt
  1. Product Owner (m/f/d) for Hardware Security Modules
    Elektrobit Automotive GmbH, Erlangen
  2. IT-Systemkauffrau / -kaufmann m/w/d
    Stockmeier Holding GmbH, Bielefeld
Detailsuche

Dazu benötigt der Angreifer aber einen direkten Zugang zum Rechner und ein speziell präpariertes USB-Gerät, denn der Treiber ist für die Verwendung von USB-Soundkarten mit dem Caiaq-Chipsatz von Native Instruments gedacht.

Der Exploit wurde bereits Mitte Februar 2011 vom französischen Vigilance-Team gemeldet. Inzwischen sind die entsprechenden Patches in den Code der Kernel-Versionen eingeflossen, der am 7. März 2011 veröffentlicht wurde. Auch in der bevorstehenden Kernel-Version 2.6.38 wurde der Patch eingepflegt. Der Treiber verwendet künftig die sichere strlcpy()-Funktion.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Der Kaiser! 15. Mär 2011

Der Kaiser! 15. Mär 2011

Wie macht man das?

0xDEADC0DE 09. Mär 2011

Doch und Deine Antwort beweist dass Du mein Posting nicht verstanden hast.

bstea 09. Mär 2011

Ich finde diese Sicherheitslücke viel schlimmer. Vor Zugriffen von außen kann man sich...



Aktuell auf der Startseite von Golem.de
Künstliche Intelligenz
Werden Computer so schlau wie Menschen?

Das Feld der künstlichen Intelligenz hat in den letzten zehn Jahren rasante Fortschritte gemacht. Wird der Computer den Menschen in puncto Intelligenz und Kreativität einholen? Und was dann?
Von Helmut Linde

Künstliche Intelligenz: Werden Computer so schlau wie Menschen?
Artikel
  1. Die große Umfrage: Das sind Deutschlands beste IT-Arbeitgeber 2023
    Die große Umfrage
    Das sind Deutschlands beste IT-Arbeitgeber 2023

    Golem.de und Statista haben 23.000 Fachkräfte nach ihrer Arbeit gefragt. Das Ergebnis ist eine Liste der 175 besten Unternehmen für IT-Profis.

  2. Monitoring von Container-Landschaften: Prometheus ist nicht alles
    Monitoring von Container-Landschaften
    Prometheus ist nicht alles

    Betreuer von Kubernetes und Co., die sich nicht ausreichend mit der Thematik beschäftigen, nehmen beim metrikbasierte Monitoring unwissentlich einige Nachteile in Kauf. Eventuell ist es notwendig, den üblichen Tool-Stack zu ergänzen.
    Von Valentin Höbel

  3. HEDT: Intel zeigt aus Versehen 34-Core Raptor-Lake-Prozessoren
    HEDT
    Intel zeigt aus Versehen 34-Core Raptor-Lake-Prozessoren

    Auf der Innovation hat Intel offenbar unfreiwillig den Nachfolger von Cascade-Lake präsentiert. Ein Wafer enthielt statt der Raptor-Lake-Desktop-Chips augenscheinlich Workstation-Prozessoren.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • 3 Spiele für 49€ • Saturn Gutscheinheft • Günstig wie nie: LG OLED 48" 799€, Xbox Elite Controller 2 114,99€, AOC 28" 4K UHD 144 Hz 600,89€, Corsair RGB Midi-Tower 269,90€, Sandisk microSDXC 512GB 39€ • Bis zu 15% im eBay Restore • MindStar (PowerColor RX 6700 XT 489€) [Werbung]
    •  /