Kritische Schadcode-LĂĽcke bedroht Universal Boot Loader U-Boot
Die Entwickler von U-Boot haben zwei gefährliche Sicherheitslücken geschlossen.
Der Universal Boot Loader U-Boot kommt in vielen Embedded-Systemen auf Linux-Basis zum Einsatz. Das betrifft unter anderem Android-Geräte und ChromeOS. Angreifer könnten zwei Sicherheitslücken ausnutzen und im schlimmsten Fall Schadcode ausführen.
Anfällig für Speicherfehler
Einstiegspunkt für Angreifer ist die fehlerhafte Implementierung von IP Datagram Reassembly Algorithm (CONFIG_IP_DEFRAG). Hier könnten Angreifer mit bestimmten Eingaben Speicherfehler auslösen und so in einem Fall (CVE-2022-30790 "kritisch") Schadcode auf Systeme schieben und ausführen.
Durch das erfolgreiche Ausnutzen der zweiten Schwachstelle (CVE-2022-30552 "hoch") könnten Angreifer einen DoS-Zustand herbeiführen. Dabei stürzt Software in der Regel ab.
In einem Beitrag von Sicherheitsforschern der Nccgroup steht, dass es bereits einen Sicherheitspatch gibt. Die abgesicherte Versionsnummer ist aber nicht ohne Weitere herauszufinden. Wer U-Boot einsetzt, sollte sicherstellen, dass mindestens die aktuelle Version aus dem Master-Zweig installiert ist.
(des)