USBFuzz: USB-Sicherheitslücken in vielen Betriebssystemen entdeckt

Zwei Sicherheitsforscher haben 26 Sicherheitslücken im USB-Stack von Windows, MacOS, Linux und FreeBSD gefunden.

Artikel veröffentlicht am ,
USB-Anschlüsse
USB-Anschlüsse (Bild: Bruno/Pixabay)

Gleich 26 neue Schwachstellen konnten zwei Sicherheitsforscher im USB-Treiber-Stack der Betriebssysteme Linux, MacOS, Windows und FreeBSD entdecken. Hui Peng (Purdue Universität/USA) und Mathias Payer (Universität Lausanne/Schweiz) haben sie mit dem eigens entwickelten Tool USBFuzz gefunden, das bald als Open-Source-Software veröffentlicht werden soll. Zuerst hatte das Onlinemagazin ZDnet berichtet.

Stellenmarkt
  1. Projektleiter - Technische Infrastruktur (w/m/d)
    Dataport, verschiedene Standorte
  2. Mitarbeiter IT Service Desk (w/m/d) Mac OS
    Bechtle GmbH, Hamburg
Detailsuche

"Im Kern verwendet USBFuzz ein software-emuliertes USB-Gerät, um den Treibern zufällige Gerätedaten zur Verfügung zu stellen (wenn sie IO-Operationen durchführen)", erklären die Forscher. Beim sogenannten Fuzzing werden Programme - oder in diesem Fall: USB-Treiber - mit zufälligen Daten gefüttert. Reagieren sie auf eine Eingabe ungewollt, beispielsweise durch einen Absturz, handelt es sich höchstwahrscheinlich um einen Bug.

"Da das emulierte USB-Gerät auf der Geräteebene arbeitet, ist die Portierung auf andere Plattformen einfach" erklären die Forscher. Dies ermöglichte Peng und Payer, Schwachstellen in verschiedenen Betriebssystemen zu entdecken. In FreeBSD 12 fanden sie eine, in MacOS 10.15 (Catalina) drei und in Windows 8 und Windows 10 vier Schwachstellen. Unter MacOS führten zwei Bugs zu einem Neustart und einer zum Einfrieren des Systems. Windows quittierte den Dienst mit einem Blue Screen.

Großteil der Sicherheitslücken unter Linux

Insgesamt 18 Schwachstellen entdeckten die Sicherheitsforscher in neun getesteten Linux-Kernelversionen (4.14.81, 4.15, 4.16, 4.17, 4.18.19, 4.19, 4.19.1, 4.19.2 und 4.20-rc2). Zum Zeitpunkt des Tests war Version 4.20-rc2 die aktuellste, die im März 2019 von Version 5.0 abgelöst wurde. Bei 16 von den 18 Schwachstellen handelte es sich um Speicherfehler, die Auswirkungen auf die Sicherheit von Linux-Subsystemen (USB-Core, USB-Sound und Netzwerk) hatten, jeweils ein weiterer Bug steckte im Treiber für USB-Kameras sowie im Linux-USB-Host-Controller. Diese teilten Peng und Payer mit Patchvorschlägen dem Linux-Kernel-Team mit.

Golem Karrierewelt
  1. Angular für Einsteiger: virtueller Zwei-Tage-Workshop
    19./20.12.2022, Virtuell
  2. Adobe Photoshop Grundkurs: virtueller Drei-Tage-Workshop
    12.-14.10.2022, Virtuell
Weitere IT-Trainings

11 der im letzten Jahr gemeldeten Sicherheitslücken seien bereits behoben, die weiteren sieben würden teils noch unter Embargo stehen und zu einem späteren Zeitpunkt veröffentlicht. Teils wurden sie aber auch gleichzeitig von anderen Forschern entdeckt und gemeldet, erklären Peng und Payer. Es sei auch bei diesen Schwachstellen in naher Zukunft mit Patches zu rechnen.

Dass die Sicherheitsforscher überhaupt derart viele Schwachstellen unter Linux entdecken konnten, ist erstaunlich: Ende 2017 hatte Google den USB-Stack des Linux-Kernels per Fuzzing mit dem Tool Syzkaller zerlegt und 79 Fehler entdeckt. Peng und Payer wollen USBFuzz nach einem Vortrag auf der Usenix-Konferenz veröffentlichen. Im Unterschied zu Syzkaller und anderen Fuzzing-Tools gebe USBFuzz den Forschern mehr Kontrolle über ihre Testdaten und sei plattformübergreifend, betonen die beiden Forscher.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
e.Go Life getestet
Abgesang auf ein schwer erfüllbares Versprechen

Der e.Go Life aus Aachen sollte Elektromobilität erschwinglich machen. Doch nach 1.500 ausgelieferten Exemplaren ist nun Schluss. Was nachvollziehbar ist.
Ein Bericht von Friedhelm Greis

e.Go Life getestet: Abgesang auf ein schwer erfüllbares Versprechen
Artikel
  1. Unbound: Neues Need for Speed verbindet Gaspedal mit Graffiti
    Unbound
    Neues Need for Speed verbindet Gaspedal mit Graffiti

    Veröffentlichung im Dezember 2022 nur für PC und die neuen Konsolen: Electronic Arts hat ein sehr buntes Need for Speed vorgestellt.

  2. Google: Pixel 7 und 7 Pro kosten so viel wie die Vorgänger
    Google
    Pixel 7 und 7 Pro kosten so viel wie die Vorgänger

    Googles Pixel-7-Smartphones kommen mit neuem Tensor-Chip, ansonsten ist die Hardware vertraut. Neuigkeiten gibt es bei der Software.

  3. Lochstreifenleser selbst gebaut: Lochstreifen für das 21. Jahrhundert
    Lochstreifenleser selbst gebaut
    Lochstreifen für das 21. Jahrhundert

    Früher wurden Daten auf Lochstreifen gespeichert - lesen kann man sie heute nicht mehr so leicht. Es sei denn, man verwendet Jürgen Müllers Lesegerät auf Arduino-Basis.
    Von Tobias Költzsch

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • PS5 jetzt bestellbar • MindStar (Gigabyte RTX 3090 Ti 1.099€, RTX 3070 539€) • Alternate (Team Group DDR4/DDR5-RAM u. SSD) • Günstig wie nie: MSI Curved 27" WQHD 165Hz 289€, Philips LED TV 55" Ambilight 549€, Inno3D RTX 3090 Ti 1.199€ • 3 Spiele für 49€ [Werbung]
    •  /