• IT-Karriere:
  • Services:

Bleedingtooth: Google und Intel warnen vor neuen Bluetooth-Lücken

Laut Google lässt sich über die Sicherheitslücken Code aus der Ferne ausführen. Intel hat sie veröffentlicht, bevor Patches ausgeliefert wurden.

Artikel veröffentlicht am ,
Ein Knopf mit Bluetooth-Logo
Ein Knopf mit Bluetooth-Logo (Bild: Omar Torres/AFP via Getty Images)

Noch ist nicht viel bekannt über neue Bluetooth-Lücken, aber sie haben mit Bleedingtooth (CVE-2020-12351, CVE-2020-12352, CVE-2020-24490) schon einen Namen. Google und Intel warnen vor Sicherheitslücken in der Linux-Bluetooth-Implementierung Bluez. Während Andy Nguyen, Sicherheitsforscher bei Google, von einer Code-Ausführung ohne Interaktion innerhalb der Bluetooth-Reichweite berichtet, spricht Intel von einer Rechteausweitung. Derzeit stehen keine gepatchten Bluez-Versionen zur Verfügung. Intel wird für die frühzeitige Veröffentlichung kritisiert.

Stellenmarkt
  1. Hays AG, Magdeburg
  2. Schaeffler Technologies AG & Co. KG, 91074 Herzogenaurach

"Bleedingtooth ist eine Reihe von Zero-Klick-Sicherheitslücken im Linux-Bluetooth-Subsystem, die es einem nicht authentifizierten entfernten Angreifer auf kurze Distanz erlauben könnten, beliebigen Code mit Kernel-Privilegien auf verwundbaren Geräten auszuführen", fasst Nguyen die Problematik auf Twitter zusammen. Weitere Details würden in Kürze in einem Blogeintrag in Googles Sicherheitsblog veröffentlicht. Wie Code über die Bluetooth-Lücke auf einem Laptop mit Ubuntu ausgeführt werden kann, demonstriert derweil ein Proof-of-Concept-Video.

Kritik an Intel

Der Sicherheitsforscher Matthew Garrett, ebenfalls von Google, kritisiert derweil Intel für die frühzeitige Veröffentlichung der Schwachstellen: Es gebe weder Patches im Linux Kernel 5.9, auch wenn das zum Teil behauptet würde, noch seien die Distributionen benachrichtigt worden. So hätten diese keine rückportierten Patches auf den jeweils von ihnen eingesetzten Kernel-Versionen ausliefern können.

"Fast genau dasselbe passierte Anfang dieses Jahres", schreibt Garrett auf Twitter. Damals habe Intel ebenfalls eine Sicherheitslücke in Bluez veröffentlicht, ohne den Bescheid zu geben. Garrett habe dies dann nachträglich getan. Teil des Problems sei zudem, dass die aktuellen Patches in Bluez nicht im Mainline-Branch des Linux-Kernel gelandet seien, sondern im Next-Branch, erwidert Nguyen.

Vor besondere Probleme dürfte die Lücke IoT-Geräte auf Linux-Basis stellen, die Bluetooth aktiv verwenden: Während Linux-Distributionen die Patches verteilen, sobald sie verfügbar sind, pflegen Hersteller von Internet-of-Things-Geräten diese oft nur sehr kurz, schlecht oder gar nicht - entsprechend werden bei diesen Geräten die Lücken oftmals sehr spät oder nie geschlossen. Android hat eine eigene Bluetooth-Implementierung und ist daher nicht betroffen.

Nachtrag vom 16. Oktober 2020, 12:30 Uhr

Mittlerweile sind die Patches im Mailine-Kernel angekommen und an Backports für die Stable-Versionen wird gearbeitet. Laut dem Kernel-Log hat Intel die Patches bereits Anfang August erstellt, aber über zwei Monate nicht dafür gesorgt, dass die Linux-Distributionen darüber informiert wurden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. (u. a. Watch Dogs 2 für 11€, Overlord 2 für 1,99€, Track Mania 2: Valley für 8,99€)
  2. 22,99€ (Bestpreis!)
  3. (u. a. Sandisk Extreme Portable SSD 2TB für 248,99€, Sandisk Extreme Pro PCIe-SSD 1TB für 124...
  4. (u. a. Samsung 970 Evo Plus PCIe-SSD 500GB für 79,99€, Samsung 860 Evo SATA-SSD 500GB für 54...

mtr (golem.de) 15. Okt 2020 / Themenstart

Hallo, tatsächlich haben Android und iOS eigene Bluetooth-Implementierungen, die von den...

Siliciumknight 15. Okt 2020 / Themenstart

Die Netflix Serie Bojack Horseman ist da anderer Meinung. Sowie Wikipedia: https://de...

Kommentieren


Folgen Sie uns
       


Yakuza - Like a Dragon - Gameplay (Xbox Series X)

Im Video zeigt Golem.de, wie Yakuza - Like a Dragon auf der Xbox Series X aussieht.

Yakuza - Like a Dragon - Gameplay (Xbox Series X) Video aufrufen
Mafia Definitive Edition im Test: Ein Remake, das wir nicht ablehnen können
Mafia Definitive Edition im Test
Ein Remake, das wir nicht ablehnen können

Familie ist für immer - nur welche soll es sein? In Mafia Definitive Edition finden wir die Antwort erneut heraus, anders und doch grandios.
Ein Test von Marc Sauter

  1. Mafia Definitive Edition angespielt Don Salieri wäre stolz
  2. Mafia Definitive Edition Ballerei beim Ausflug aufs Land
  3. Definitive Edition Das erste Mafia wird von Grund auf neu erstellt

Ausprobiert: Meine erste Strafgebühr bei Free Now
Ausprobiert
Meine erste Strafgebühr bei Free Now

Storniert habe ich bei Free Now noch nie. Doch diesmal wurde meine Geduld hart auf die Probe gestellt.
Ein Praxistest von Achim Sawall

  1. Gesetzentwurf Weitergabepflicht für Mobilitätsdaten geplant
  2. Personenbeförderung Taxibranche und Uber kritisieren Reformpläne

Energiewende: Wie die Begrünung der Stahlindustrie scheiterte
Energiewende
Wie die Begrünung der Stahlindustrie scheiterte

Vor einem Jahrzehnt suchte die europäische Stahlindustrie nach Technologien, um ihren hohen Kohlendioxid-Ausstoß zu reduzieren, doch umgesetzt wurde fast nichts.
Eine Recherche von Hanno Böck

  1. Wetter Warum die Klimakrise so deprimierend ist

    •  /