Der "Month of Kernel Bugs" ist vorüber, eine neue Schwachstelle im Linux-Kernel und drei in Mac OS X sind dazu gekommen.

Eine Integerüberlauf-Schwachstelle in der Funktion get_fdb_entries() des Linux-Kernels erlaubt lokalen Benutzern durch einen entsprechend präparierten ioctl()-Aufruf die Ausführung beliebigen Codes mit Root-Rechten. Die Schwachstelle wurde bereits behoben, Versionen ab 2.6.18.4 enthalten den Fehler nicht mehr.

In Mac OS X wurde eine Schwachstelle im AppleTalk-Code gefunden. Ein entsprechend präparierter AIOCREGLOCALZN-ioctl-Befehl führt zu einer Speicherkorrumpierung. Lokale Benutzer können dadurch einen Denial-of-Service auslösen, evtl. ist auch die Ausführung beliebigen Codes möglich. Eine Schwachstelle im Systemaufruf shared_region_make_private_np() erlaubt lokalen Benutzern die Ausführung beliebigen Codes mit Kernel-Rechten. Die letzte Schwachstelle des "Month of Kernel Bugs" wurde in Apples Airport Extreme Treiber gefunden. Sie erlaubt das Auslösen eines Denial-of-Service (durch Kernel-Panic) durch verschiedene Beacon-Frames. Die Schwachstelle wird von Apple untersucht, ein Proof-of-Concept evtl. nach dem Beheben der Schwachstelle veröffentlicht.

Das Endergebnis sieht damit folgendermaßen aus:

Was man daraus schließen kann? Eigentlich nichts. Reindeuten kann man so ziemlich alles, ganz nach eigenen Vorlieben oder Abneigungen. Auffällig finde ich, dass die meisten Windows-Schwachstellen gar keine Windows-Schwachstellen im engeren Sinne sind, sondern sich in (WLAN-)Treibern verschiedener Hersteller befinden. Teilt man die Schwachstellen auf, ergibt sich folgendes Bild:

Damit hat NetGear den Schwarzen Peter gezogen. Und da NetGear sich mit dem Beheben von Schwachstellen etwas schwer tun, werden sie ihn so schnell wohl auch nicht wieder los.

Und sonst - einfach mal ein paar Gedanken, die mir während des Novembers so durch den Kopf gegangen sind:

• Linux: Viele Schwachstellen in Dateisystemen. Kein Wunder, schließlich wurde danach ja mit dem fsfuzzer gesucht. Zum Glück sind es meist lokale Denial-of-Service-Schwachstellen. Vielleicht ganz nützlich, wenn jemand sich mit dem Argument "Der Rechner ist gerade abgestürzt" eine kleine zusätzliche Pause verschaffen will, ansonsten aber keine große Gefahr.
• Nur zwei Schwachstellen in FreeBSD und eine in Solaris: Die BSD-Systeme haben nicht umsonst den Ruf, sehr stabil zu sein. Und Solaris... entweder war nichts zu finden - oder es hat niemand gesucht.
• Mac OS X: Mit dem Schwinden des "Exotenstatus" wird das System auch für Angreifer interessant. Noch kein Grund, in Panik oder blinden Aktionismus zu verfallen, aber "Augen auf im Internet-Verkehr" ist immer angebracht. Wobei zwei einfache Grundregeln jetzt wirklich befolgt werden sollten:
  • Man arbeitet nicht mit einem Benutzerkonto mit Admin-Rechten.
    Wer das bisher getan hat, sollte damit jetzt aufhören. Das geht ganz einfach: Einen neuen Benutzer anlegen, diesem Admin-Rechte geben und danach dem eigenen Benutzer diese entziehen. Werden danach Aktionen gestartet, die Admin-Rechte erfordern, fragt der Mac danach. Geht alles ganz problemlos, mir ist nur ein kleines Problem bekannt: Wer bei der Software-Aktualisierung die Pakete behalten möchte, muss das Recht des Verzeichnisses von Hand ändern. Das gehört dem bisherigen Admin-Benutzer, und da die Software-Aktualisierung in Zukunft vom neuen durchgeführt wird, kann sie da nichts drin speichern.
  • Heruntergeladene Dateien werde nicht automatisch geöffnet.
    Weder von Safari noch von einem anderen Webbrowser oder einem Hilfsprogramm. Wenn etwas entpackt oder betrachtet werden soll, entscheidet das der Benutzer. Wer sowieso auf alles klickt, was ihn unter den Mauszeiger kommt, kann das natürlich auch weiter automatisiert tun. Wer aber vor dem Klicken sein Gehirn benutzt, sollte sich besser darauf verlassen und nicht darauf, was irgendjemand anders für sicher hält.
• Windows: Auch wenn es so aussieht, es ist garantiert noch nicht fehlerfrei. Und da es keine zu 100% fehlerfreie Software geben kann, wird es das auch nie sein. Weder XP, dessen Zeit bald abgelaufen ist, noch Vista, das aufgrund der neuen Sicherheitsmaßnahmen andere Schwachstellen enthalten und/oder andere Exploits erfordern wird. Aber mit Vista wird die Ausnutzung von Schwachstellen schwieriger - sofern nicht gerade in den Schutzfunktionen Löcher klaffen. Aber um das zu beurteilen, ist es noch viel zu früh.
• Dass ich für die Zukunft mehr Schwachstellen in WLAN-Treibern etc. erwarte, hatte ich schon erwähnt. Bei der Anschaffung von Peripheriegeräten und Erweiterungen sollte man in Zukunft vielleicht auch einen Blick auf den Support des Herstellers werfen. Was nützt die schönste Hardware, wenn man im Falle des Auftretens einer Schwachstelle nur zwischen "Nutze ich nicht mehr" und "Jetzt surfe ich mit heruntergelassener Hose im offenen Scheunentor" wählen kann?

Ein anderes Scheunentor bleibt angelehnt: Die letzte Woche erwähnte "Week of Oracle Database Bugs" (WoODB) von Argeniss wurde abgesagt. Ein Grund dürfte sein, dass durch Oracles Quartalsweises Patchen die veröffentlichten Lücken 3-6 Monate offen bleiben würden. Das hat etwas von "Security by Obscurity". Ob nun Argenis 7 Lücken auf einen Schlag veröffentlicht oder Hacker in mehreren Monaten, macht meines Erachtens keinen Unterschied. Quartalsweise zu patchen ist... nein, ich bin höflich und denke mir nur meinen Teil. Meine Meinung dazu hatte ich auch schon am 7. August geschrieben. Wenn ein Hersteller die Forscher und nicht die Schwachstellen für das eigentliche Problem hält, hat der sowieso ein Problem. Aber zumindest das wurde schon mal begriffen, und Oracle hat angefangen, aus seinen Fehlern zu lernen. Man könnte auch sagen, Oracle bewegt sich (endlich) - nur am Tempo muss jetzt noch gearbeitet werden.

Carsten Eilers