Kees Cook, Entwickler bei ChromeOS, hat beim Experimentieren mit USB-Endgeräten zwölf Schwachstellen im Code des Linux Kernels entdeckt, wodurch im schlimmsten Fall eine Speicherverletzung ausgelöst werden kann. Um dieses Problem zu beheben, hat Cook gleichzeitig einen entsprechenden Patch bereitgestellt.

Schließt der Benutzer beispielsweise eine USB-Tastatur an, schickt das Gerät dem Kernel in regelmäßigen Abständen Berichte über Ereignisse, zum Beispiel, wenn Tasten betätigt werden. Die Anzahl der Datenfelder für entsprechende Berichte werden vom Kernel auf maximal 256 Einträge gesetzt. Beansprucht ein Endgerät also mehr als 255 dieser sogenannten "Report IDs", kommt es zu der erwähnten Speicherverletzung im Kernel, wodurch Angreifer in der Lage wären, eventuell Schadcode auszuführen.

Betroffen sind vor allem Debian (Wheezy) und Red Hat (Fedora 19, Enterprise Linux 6). Die entsprechenden Entwickler arbeiten momentan daran, den Patch zu integrieren, während die Entwickler der Ubuntu-Distribution noch Prüfen, ob auch ihre Distribution von dem Fehler betroffen ist.

(jk, hannover)

(siehe auch Heise News-Ticker :)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE