Abo
  • Services:

Linux: Kernel-Bug erlaubt Sandbox-Ausbrüche

Ein Fehler im Futex-Code von Linux erlaubt Nutzern vollen Zugriff auf den Kernel. Damit ließe sich etwa aus der Chrome-Sandbox ausbrechen. Patches sind bereits verfügbar.

Artikel veröffentlicht am ,
Ein Fehler im Futex-Code erlaubt vollen Zugriff auf den Kernel.
Ein Fehler im Futex-Code erlaubt vollen Zugriff auf den Kernel. (Bild: Michael Van Woert, Noaa Nesdis, Ora/Public Domain)

Mit dem Systemaufruf Futex im Linux-Kernel lässt sich verhindern, dass zwei eventuell nebenläufige Prozesse versuchen, gleichzeitig auf dieselbe Datenstruktur zuzugreifen und diese zu verändern. Ein auf die Daten wartender Prozess kann wieder aufgeweckt werden, wenn die Daten bereitstehen. Ein nun aufgedeckter Fehler in dem Code erlaubt Nutzern Kontrolle über den Ring 0, also vollen Zugriff auf den Kernel.

Stellenmarkt
  1. BIM Berliner Immobilienmanagement GmbH, Berlin
  2. OHB System AG, Bremen, Oberpfaffenhofen

In der Ankündigung, die über Debian-Security und OSS-Sec verfügbar ist, heißt es, damit ließe sich ein Absturz des Kernels verursachen. Nutzer könnten damit aber auch vollen Zugriff auf das laufende System erhalten. Ausgenutzt werden kann der Fehler, indem eine "Waiter-Variable" durch den Systemaufruf auf dem "Stack hängen bleibt". Durch weitere Futex-Aufrufe ließe sich der Stack dann verändern und damit die Struktur des "Waiter". Wird dieser im Anschluss wieder aufgeweckt, kann dieser benutzt werden, um beliebigen Code im Ring 0 auszuführen.

Besonders kritisch ist der Fehler, weil die meisten Sandbox-Mechanismen unter Linux diese Funktion direkt oder indirekt über die Glibc verwenden. Das gilt etwa auch für die Sandbox im Chrome-Browser von Google, die derartige Sicherheitsprobleme ja eigentlich verhindern soll.

Patches für den Kernel des aktuellen Debian-Stable stehen inzwischen bereit, für Debian Sid sollen die Änderungen demnächst folgen. Seit vergangenem Abend sind Patches auch im Zweig von Linus Torvalds enthalten und es stehen Backports bis Kernel 2.6.32 zur Verfügung. Die Behebung des Fehlers sollte entsprechend in den kommenden Tagen für die meisten Linux-Distributionen als Update bereitstehen.



Anzeige
Spiele-Angebote
  1. (-20%) 15,99€
  2. 13,49€
  3. 23,99€
  4. 12,49€

TheUnichi 08. Jun 2014

Klingt ja fast so, als hättest du Apps veröffentlicht und bist dabei ganz schön auf die...

Anonymer Nutzer 07. Jun 2014

Eben! Das mit dem Patchday ist totaler Blödsinn! Wenn ein Patch "fertig ist" dann sollte...


Folgen Sie uns
       


Azio Retro Classic Tastatur - Test

Die Azio Retro Classic sieht mehr nach Schreibmaschine als nach moderner Tastatur aus. Die von Azio mit Kaihua entwickelten Switches bieten eine angenehme Taktilität, für Vieltipper ist die Tastatur sehr gut geeignet.

Azio Retro Classic Tastatur - Test Video aufrufen
WLAN-Tracking und Datenschutz: Ist das Tracken von Nutzern übers Smartphone legal?
WLAN-Tracking und Datenschutz
Ist das Tracken von Nutzern übers Smartphone legal?

Unternehmen tracken das Verhalten von Nutzern nicht nur beim Surfen im Internet, sondern per WLAN auch im echten Leben: im Supermarkt, im Hotel - und selbst auf der Straße. Ob sie das dürfen, ist juristisch mehr als fraglich.
Eine Analyse von Harald Büring

  1. Gefahr für Werbenetzwerke Wie legal ist das Tracking von Online-Nutzern?
  2. Landtagswahlen in Bayern und Hessen Tracker im Wahl-O-Mat der bpb-Medienpartner
  3. Tracking Facebook wechselt zu First-Party-Cookie

Nubia X im Hands on: Lieber zwei Bildschirme als eine Notch
Nubia X im Hands on
Lieber zwei Bildschirme als eine Notch

CES 2019 Nubia hat auf der CES eines der interessantesten Smartphones der letzten Monate gezeigt: Dank zweier Bildschirme braucht das Nubia X keine Frontkamera - und dementsprechend auch keine Notch. Die Umsetzung der Dual-Screen-Lösung gefällt uns gut.

  1. Videostreaming Plex will Filme und Serien kostenlos und im Abo anbieten
  2. Solar Cow angesehen Elektrische Kuh gibt Strom statt Milch
  3. H2Bike Alpha Wasserstoff-Fahrrad fährt 100 Kilometer weit

Kaufberatung: Die richtige CPU und Grafikkarte
Kaufberatung
Die richtige CPU und Grafikkarte

Bei PC-Hardware gab es 2018 viele Neuerungen: AMD hat 32 CPU-Kerne etabliert, Intel verkauft immerhin acht Cores statt vier und Nvidias Turing-Grafikkarten folgten auf die zwei Jahre alten Pascal-Modelle. Wir beraten bei Komponenten und geben einen Ausblick auf die kommenden Monate.
Von Marc Sauter

  1. Fujian Jinhua USA verhängen Exportverbot gegen chinesischen DRAM-Fertiger
  2. Halbleiter China pumpt 47 Milliarden US-Dollar in eigene Chip-Industrie
  3. Dell Neue Optiplex-Systeme in drei Größen und mit Dual-GPUs

    •  /