Month of the Kernel Bugs: Linux führt

Neun Schwachstellen in Betriebssystem-Kernels sind im Rahmen des Month of the Kernel Bugs bislang veröffentlicht worden. Nach dem von H.D. Moore initiierten Month of the Browser Bugs im Juli wurde eine ähnliche Schwachstellensammlung für den November mit dem Projekt "Month of the Kernel Bugs" (MoKB) angekündigt. Dabei wollen die Initiatoren jeden Tag im November eine Sicherheitslücke in unterschiedlichen Betriebssystem-Kernen vorstellen. Unter anderem wurden Fuzzing-Tools wie "fsfuzzer" und "fs-bugs" zum Aufspüren der Fehler benutzt.

Drei der gefundenen Lücken betreffen den Linux-Kernel 2.6, zwei FreeBSD 6.1, zwei Mac OS X, eine Solaris und eine Windows. Für sieben der Schwachstellen sind auch schon Proof-of-Concept-Exploits veröffentlicht, die das Problem im jeweiligen Kernel demonstrieren sollen. Fünf der Schwachstellen sollen sich nach Einschätzung der Entdecker der Lücken zum Einschleusen und Ausführen von Code nutzen lassen. Der Rest führt zum Absturz eines Systems. Als einzige lässt sich nur die Lücke in Apples Orinoco-Treiber über das Netz oder WLAN ausnutzen.

Für keine der Schwachstellen steht ein Patch bereit. Einige der Fehler dürften sich aber auf Standardsystemen kaum provozieren lassen. So beziehen sich zwei der gefundenen Fehler in Linux auf das komprimierende Dateisystem "squashfs", das in der Regel nur auf Embedded Systemen zu Einsatz kommt, sowie einen Bug in zlib, der in Kombination mit dem Dateisystem "cramfs" zu einem Absturz führt.

Siehe dazu auch: (dab)

• Month of Kernel Bugs (MoKB), Übersicht aller Meldungen des MoKB