Bleedingtooth: Google und Intel warnen vor neuen Bluetooth-Lücken

Laut Google lässt sich über die Sicherheitslücken Code aus der Ferne ausführen. Intel hat sie veröffentlicht, bevor Patches ausgeliefert wurden.

Artikel veröffentlicht am ,
Ein Knopf mit Bluetooth-Logo
Ein Knopf mit Bluetooth-Logo (Bild: Omar Torres/AFP via Getty Images)

Noch ist nicht viel bekannt über neue Bluetooth-Lücken, aber sie haben mit Bleedingtooth (CVE-2020-12351, CVE-2020-12352, CVE-2020-24490) schon einen Namen. Google und Intel warnen vor Sicherheitslücken in der Linux-Bluetooth-Implementierung Bluez. Während Andy Nguyen, Sicherheitsforscher bei Google, von einer Code-Ausführung ohne Interaktion innerhalb der Bluetooth-Reichweite berichtet, spricht Intel von einer Rechteausweitung. Derzeit stehen keine gepatchten Bluez-Versionen zur Verfügung. Intel wird für die frühzeitige Veröffentlichung kritisiert.

Stellenmarkt
  1. Java Software Engineer (m/w/d)
    über grinnberg GmbH, Raum Nürnberg
  2. Consultant / Specialist Projektmanagement Digitalisierung Filiale (m/w/d)
    ALDI SÜD Dienstleistungs-SE & Co. oHG, Mülheim an der Ruhr
Detailsuche

"Bleedingtooth ist eine Reihe von Zero-Klick-Sicherheitslücken im Linux-Bluetooth-Subsystem, die es einem nicht authentifizierten entfernten Angreifer auf kurze Distanz erlauben könnten, beliebigen Code mit Kernel-Privilegien auf verwundbaren Geräten auszuführen", fasst Nguyen die Problematik auf Twitter zusammen. Weitere Details würden in Kürze in einem Blogeintrag in Googles Sicherheitsblog veröffentlicht. Wie Code über die Bluetooth-Lücke auf einem Laptop mit Ubuntu ausgeführt werden kann, demonstriert derweil ein Proof-of-Concept-Video.

Kritik an Intel

Der Sicherheitsforscher Matthew Garrett, ebenfalls von Google, kritisiert derweil Intel für die frühzeitige Veröffentlichung der Schwachstellen: Es gebe weder Patches im Linux Kernel 5.9, auch wenn das zum Teil behauptet würde, noch seien die Distributionen benachrichtigt worden. So hätten diese keine rückportierten Patches auf den jeweils von ihnen eingesetzten Kernel-Versionen ausliefern können.

"Fast genau dasselbe passierte Anfang dieses Jahres", schreibt Garrett auf Twitter. Damals habe Intel ebenfalls eine Sicherheitslücke in Bluez veröffentlicht, ohne den Bescheid zu geben. Garrett habe dies dann nachträglich getan. Teil des Problems sei zudem, dass die aktuellen Patches in Bluez nicht im Mainline-Branch des Linux-Kernel gelandet seien, sondern im Next-Branch, erwidert Nguyen.

Golem Karrierewelt
  1. IT-Grundschutz-Praktiker mit Zertifikat: Drei-Tage-Workshop
    04.-06.07.2022, Virtuell
  2. Entwicklung mit Unity auf der Microsoft HoloLens 2 Plattform: virtueller Zwei-Tage-Workshop
    10./11.10.2022, Virtuell
Weitere IT-Trainings

Vor besondere Probleme dürfte die Lücke IoT-Geräte auf Linux-Basis stellen, die Bluetooth aktiv verwenden: Während Linux-Distributionen die Patches verteilen, sobald sie verfügbar sind, pflegen Hersteller von Internet-of-Things-Geräten diese oft nur sehr kurz, schlecht oder gar nicht - entsprechend werden bei diesen Geräten die Lücken oftmals sehr spät oder nie geschlossen. Android hat eine eigene Bluetooth-Implementierung und ist daher nicht betroffen.

Nachtrag vom 16. Oktober 2020, 12:30 Uhr

Mittlerweile sind die Patches im Mailine-Kernel angekommen und an Backports für die Stable-Versionen wird gearbeitet. Laut dem Kernel-Log hat Intel die Patches bereits Anfang August erstellt, aber über zwei Monate nicht dafür gesorgt, dass die Linux-Distributionen darüber informiert wurden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


mtr (golem.de) 15. Okt 2020

Hallo, tatsächlich haben Android und iOS eigene Bluetooth-Implementierungen, die von den...

Siliciumknight 15. Okt 2020

Die Netflix Serie Bojack Horseman ist da anderer Meinung. Sowie Wikipedia: https://de...



Aktuell auf der Startseite von Golem.de
Unix-Nachfolger
Plan 9 sollte bessere Audio-Kompression bekommen als MP3

Die Entwicklung der Audio-Kompression und die schwierige MP3-Patentsituation hätte ohne das Nein eines Anwalts wohl anders ausgesehen.

Unix-Nachfolger: Plan 9 sollte bessere Audio-Kompression bekommen als MP3
Artikel
  1. Vision, Disruption, Transformation: Populäre Denkfehler in der Digitalisierung
    Vision, Disruption, Transformation
    Populäre Denkfehler in der Digitalisierung

    Der Essay Träge Transformation hinterfragt Schlagwörter des IT-Managements und räumt mit gängigen Vorstellungen auf. Die Lektüre ist aufschlussreich und sogar lustig.
    Eine Rezension von Ulrich Hottelet

  2. Mireo Plus H: Brandenburgischer Verkehrsbetrieb kauft Brennstoffzellenzüge
    Mireo Plus H
    Brandenburgischer Verkehrsbetrieb kauft Brennstoffzellenzüge

    Siemens liefert sieben mit Wasserstoff betriebene Züge an den Verkehrsbetrieb NEB. Sie sollen ab Ende 2024 im Einsatz sein.

  3. Pro Electric SuperVan: Ford zeigt Elektro-Van mit 1.490 kW
    Pro Electric SuperVan
    Ford zeigt Elektro-Van mit 1.490 kW

    Ford hat auf dem Goodwood Festival of Speed den Ford Pro Electric SuperVan gezeigt, der die Tradition der Transit-Showcars des Unternehmens fortsetzt.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Prime Video: Filme leihen 0,99€ • Alternate: Gehäuse & Co. von Fractal Design • Nur noch heute: 16.000 Artikel günstiger bei MediaMarkt • MindStar (Samsung 970 EVO Plus 250GB 39€) • Hori RWA 87,39€ • Honor X7 128GB 150,42€ • Phanteks Eclipse P200A + Glacier One 280 157,89€ [Werbung]
    •  /