Abo
  • IT-Karriere:

Linux: Chrome benötigt aktuelle Kernel-Features

Die Entwickler des Chrome-Browsers wollen künftig eine Funktion zum Synchronisieren von Sandbox-Threads einsetzen, die erst mit dem Kernel 3.17 eingeführt wurde. Nutzer von Distributionen mit älteren Kernels haben damit ein Problem. Das betrifft sogar das noch nicht veröffentlichte Debian Jessie.

Artikel veröffentlicht am , Hanno Böck
Der Chrome-Browser unter Linux nutzt aktuelle Kernel-Features.
Der Chrome-Browser unter Linux nutzt aktuelle Kernel-Features. (Bild: Larry Ewing/Google)

Nutzer von Chrome und dessen freiem Pendant Chromium werden künftig Schwierigkeiten haben, den Browser auf älteren Linux-Versionen zu nutzen. Denn die Google-Entwickler planen, künftig eine Sicherheitsfunktion des Linux-Kernels zu nutzen, die erst seit Kurzem zur Verfügung steht. Eine Unterstützung für ältere Kernels ohne diese Funktion ist nicht geplant. Die nächste Debian-Version Jessie (8.0) wird mit dem Kernel 3.16 ausgeliefert werden, der diese Funktion noch nicht hat. Ob es einen Backport geben wird, ist unklar.

Erweiterung für Seccomp-Sandbox

Stellenmarkt
  1. Radeberger Gruppe KG, Raum Frankfurt am Main
  2. GoDaddy, Ismaning

Google-Entwickler Kees Cook hatte im vergangenen Sommer eine Erweiterung der Seccomp-Funktion von Linux entwickelt. Dabei handelt es sich um eine Erweiterung namens Tsync, welche die Synchronisierung von verschiedenen Seccomp-Threads erleichtert. Seccomp bietet Programmen die Möglichkeit, die Rechte von einzelnen Subprozessen einzuschränken. Chrome nutzt diese Funktion für seine Sandbox-Funktionalität. Das Ziel dabei: Eine Sicherheitslücke, die durch eine bösartige Webseite ausgenutzt wird, soll nicht gleich Zugriff auf das gesamte System ermöglichen.

Die Chrome-Entwickler planen nun, diese Tsync-Funktion künftig für die Linux-Version des Browsers vorauszusetzen. Das führt zwar zu mehr Sicherheit im Browser, für viele Nutzer dürfte es jedoch Ärger bedeuten. Der Kernel 3.17 ist erst im Oktober 2014 veröffentlicht worden. Bei Ubuntu hat man sich entschlossen, das entsprechende Feature zurückzuportieren. Aktuelle Ubuntu-Versionen nutzen einen Kernel-Patch, der die entsprechende Funktionalität auch für ältere Kernel-Versionen zur Verfügung stellt.

Im Moment sieht es nicht so aus als würde Debian sich ebenfalls zu einem Backport entschließen. Debian-Entwickler Ben Hutchings zeigte in einem Mailinglistenthread wenig Interesse an der neuen Funktion. Es höre sich wie ein guter Grund an, keine Google-Spyware mehr zu nutzen, lautete Hutchings lapidarer Kommentar. Für Debian-Nutzer heißt das möglicherweise, dass sie in den nächsten Jahren keine Möglichkeit haben, auf einem Stable-System eine aktuelle Version von Chrome oder Chromium einzusetzen.

Stabile Versionen versus schnelle Entwicklung

Generell zeigt sich hier ein Konflikt zwischen sehr unterschiedlichen Entwicklungsstrategien. Die Chrome-Entwickler drängen auf die Einführung von neuen Funktionen und haben auch in der Vergangenheit wenig Interesse daran gezeigt, ältere Systeme zu unterstützen. Sie empfehlen Nutzern, auf neuere Kernel-Versionen umzusteigen. Debian wiederum möchte über mehrere Jahre ein stabiles System bereitstellen, in das nur wenige Änderungen aufgenommen werden. Das ist einerseits verständlich; dass dabei an sich sinnvolle neue Sicherheitsfeatures nicht genutzt werden können, kann aber eigentlich nicht im Interesse der Debian-Community sein.

Nachtrag vom 10. März 2015, 16:33 Uhr

Chrome-Entwickler Julien Tinnes hat auf die Diskussion reagiert und in einer Mitteilung an eine Entwicklermailingliste einige Dinge klargestellt. Demnach benötigt zurzeit keine Version von Chrome oder Chromium die Tsync-Funktionalität. Vielmehr prüfe der Browser beim Start, ob diese Funktion verfügbar ist, und nutze sie nur dann. Ob zukünftige Versionen von Chrome/Chromium Tsync voraussetzen, schreibt Tinnes nicht. Ob der Browser Tsync nutzt, kann man als Nutzer prüfen, indem man die Spezial-URL chrome://sandbox aufruft.

Bei Problemen, die zurzeit mit bestimmten Kernelversionen und aktuellen Chrome-Releases auftreten, handelt es sich um Bugs. Tinnes bemühte sich nach den Berichten zu dem im Artikel bereits erwähnten Bug, weitere Informationen einzuholen. Zurzeit ist die genaue Ursache des Fehlers unklar.



Anzeige
Top-Angebote
  1. 49,94€
  2. 19,95€
  3. 13,95€
  4. (u. a. Grafikkarten, SSDs, Ram-Module reduziert)

Lala Satalin... 11. Mär 2015

Das konnte man sehr wohl sehen... Aber ok... Man konnte das mit dem Männeken übrigens...

Stebs 11. Mär 2015

Die seccomp Sandbox des Kernels gibt es seit 2005. Das verbesserte Seccomp-BPF Sandbox...

hannob (golem.de) 10. Mär 2015

Ich hab jetzt ein Update in den Artikel eingefügt. Genaugenommen haben wir aber nichts...

George99 09. Mär 2015

Da alle Ubuntus bis runter zu 12.04 LTS das TSYNC-Feature nachgerüstet per backport...

DASPRiD 09. Mär 2015

Ich hatte mich beim letzten neuen Server auch aus mittlerweile unerfindlichen Gründen...


Folgen Sie uns
       


Bose Frames im Test

Die Sonnenbrille Frames von Bose hat integrierte Lautsprecher, die den Träger mit Musik beschallen können. Besonders im Straßenverkehr ist das offene Konzept praktisch.

Bose Frames im Test Video aufrufen
Timex Data Link im Retro-Test: Bill Gates' Astronauten-Smartwatch
Timex Data Link im Retro-Test
Bill Gates' Astronauten-Smartwatch

Mit der Data Link haben Timex und Microsoft bereits vor 25 Jahren die erste richtige Smartwatch vorgestellt. Sie hat es sogar bis in den Weltraum geschafft. Das Highlight ist die drahtlose Datenübertragung per flackerndem Röhrenmonitor - was wir natürlich ausprobieren mussten.
Ein Test von Tobias Költzsch

  1. Smart Watch Swatch fordert wegen kopierter Zifferblätter von Samsung Geld
  2. Wearable EU warnt vor deutscher Kinder-Smartwatch
  3. Sportuhr Fossil stellt Smartwatch mit Snapdragon 3100 vor

Doom Eternal angespielt: Die nächste Ballerorgie von id macht uns fix und fertig
Doom Eternal angespielt
Die nächste Ballerorgie von id macht uns fix und fertig

E3 2019 Extrem schnelle Action plus taktische Entscheidungen, dazu geniale Grafik und eine düstere Atmosphäre: Doom Eternal hat gegenüber dem erstklassigen Vorgänger zumindest beim Anspielen noch deutlich zugelegt.

  1. Sigil John Romero setzt Doom fort

Ada und Spark: Mehr Sicherheit durch bessere Programmiersprachen
Ada und Spark
Mehr Sicherheit durch bessere Programmiersprachen

Viele Sicherheitslücken in Software sind auf Programmierfehler zurückzuführen. Diese Fehler lassen sich aber vermeiden - und zwar unter anderem durch die Wahl einer guten Programmiersprache. Ada und Spark gehören dazu, leider sind sie immer noch wenig bekannt.
Von Johannes Kanig

  1. Das andere How-to Deutsch lernen für Programmierer
  2. Programmiersprachen, Pakete, IDEs So steigen Entwickler in Machine Learning ein

    •  /