Fuzzing: Google zerlegt USB-Stack des Linux-Kernels

Mit einem speziellen Fuzzer für Kernel-Systemaufrufe von Google sind extrem viele Fehler im USB-Stack des Linux-Kernels gefunden worden. Viele davon werden als kritische Sicherheitslücken eingestuft, was aber eigentlich für alle Kernel-Fehler gilt.

Artikel veröffentlicht am ,
Linux-Nutzer sollten Kernel-Updates immer einspielen.
Linux-Nutzer sollten Kernel-Updates immer einspielen. (Bild: Harald Koenig/CC-BY 4.0)

Das Werkzeug Syzkaller, das mit Unterstützung von Google erstellt und entwickelt wird, ist dazu gedacht, per Fuzzing Fehler in Betriebssystemkerneln zu finden. Dazu werden unterschiedliche Systemaufrufe mit fehlerhaften Eingaben systematisch getestet. Der Entwickler Andrey Konovalov hat mit Syzkaller nun eine Vielzahl von teilweise kritische Fehlern im USB-Stack des Linux-Kernels entdeckt.

Stellenmarkt
  1. IT-Unternehmensarchitekt*in
    GASAG AG, Berlin
  2. Leiter*in (w/m/d) des Referats OC 13 Erstellung und Anpassung von Signaturen
    Bundesamt für Sicherheit in der Informationstechnik, Bonn
Detailsuche

Die gesamte Liste der Fehler hat Konovalov im Github-Projekt von Syzkaller zusammengefasst. Dort finden sich auch rund 20 Fehler, für die eine CVE-Nummer vergeben worden ist, die sich also auch leicht als Sicherheitslücke klassifizieren lassen. Diese Fehler können für lokale Denial-of-Service-Angriffe durch speziell präparierte USB-Geräte ausgenutzt werden und etwa zum Systemabsturz führen.

Die von Konovalov gefundenen Fehler lassen sich verschiedenen Kategorien zuordnen. So finden sich darunter etwa Null-Zeiger-Dereferenzierungen, Use-After-Free-Lücken oder auch Out-of-Bounds-Reads. Das gilt insbesondere auch für jene Fehler der Sammlung, für die keine oder noch keine CVE-Nummern vergeben sind. Darüber hinaus steht für eine Vielzahl der aufgefundenen Fehler auch noch kein Patch bereit, der die möglichen Lücken behebt.

Alle Kernel-Fehler könnten Sicherheitslücken sein

Die prinzipielle Unterscheidung zwischen Sicherheitslücken eventuell gar mit CVE-Nummern und anderen "normalen" Fehlern wird von vielen Linux-Kernel-Entwicklern sehr kritisch betrachtet. So lehnt dies etwa Linux-Erfinder und -Chefentwickler Linus Torvalds aus prinzipiellen Gründen ab. Auch der Maintainer von Langzeitkerneln, Willy Tarreau, wies erst vor einigen Tagen in einem Rückblick auf die Pflege von Version 3.10 darauf hin, dass diese Unterscheidung nicht hilfreich sei.

Golem Akademie
  1. Einführung in die Programmierung mit Rust
    21.-24. September 2021, online
  2. Microsoft 365 Security Workshop
    9.-11. Juni 2021, Online
Weitere IT-Trainings

Denn das wiege viele Hersteller offenbar in falscher Sicherheit und führe eventuell dazu, dass sich noch Jahre später einfache Fehler als gefährliche Sicherheitslücken erweisen können. Hersteller, die die Patches in so einem Fall nicht eingespielt haben, sind dann unnötigerweise angreifbar. Ein Großteil der Kernel-Community bezeichnet deshalb sämtliche Fehler als potentiell sicherheitsrelevant und empfiehlt ausschließlich die Nutzung aktuell gepflegter Kernel-Versionen und entsprechende Updates.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Bitcoin
Bitmain stoppt Verkauf von Krypto-Minern

Aufgrund des chinesischen Vorgehens gegen Kryptomining gibt es viele gebrauchte Bitcoin-Rigs auf dem Markt - deren größter Hersteller zieht Konsequenzen.

Bitcoin: Bitmain stoppt Verkauf von Krypto-Minern
Artikel
  1. Verbraucherzentrale gegen Glasfaser: 100 bis 300 MBit/s sind vollkommen ausreichend
    Verbraucherzentrale gegen Glasfaser
    "100 bis 300 MBit/s sind vollkommen ausreichend"

    Während alle versuchen, den Glasfaser-Ausbau zu beschleunigen, raten Verbraucherschützer, nicht für Tarife mit sehr hoher Bandbreite zu zahlen, die man angeblich gar nicht benötige.

  2. Satelliteninternet: Starlink bietet in Kürze globale Versorgung
    Satelliteninternet
    Starlink bietet in Kürze globale Versorgung

    Viel mehr Nutzer würden Starlink von SpaceX ausprobieren, aber wegen der Chipkrise fehlen die Bauteile.

  3. Lenovo L32p-30 und L27m-30: USB-C-Monitore mit Webcam passen ins Homeoffice
    Lenovo L32p-30 und L27m-30
    USB-C-Monitore mit Webcam passen ins Homeoffice

    Lenovo stellt gleich mehrere neue Monitore vor. Die L32p-30 und L27m-30 lassen sich etwa per USB-C mit 75 Watt Power Delivery anschließen.

FreiGeistler 09. Nov 2017

Welche Distro/Version? Debian 3.9? Ich meine, du klingst hier wirklich als könntest du...

Smaug 09. Nov 2017

Theoretisch schon. Man sollte zwei prinzipielle Szenarien unterscheiden: Das eine ist ein...

Anonymer Nutzer 09. Nov 2017

Ist das eine ernsthafte Frage? natürlich nein, weil USB mit DMA implemtiert wurde, wie...

miauwww 08. Nov 2017

Der Dev ist der, der schon sehr lange an solchem Fuzzing arbeitet, und er wird halt von...


Folgen Sie uns
       


  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Dualsense Midnight Black + Ratchet & Clank Rift Apart 99,99€ • 6 Blu-rays für 30€ • Landwirtschafts-Simulator 22 jetzt vorbestellbar ab 39,99€ • MSI Optix MAG272CQR Curved WQHD 165Hz 309€ [Werbung]
    •  /