ComputerBase Menü
Aktuelles

News Linux-Lücke Dirty COW gestopft: Die „schmutzige Kuh“ ist vom Eis

tuxnix schrieb:
Wäre es nicht theoretisch möglich den Dity COW bug dazu zu nutzen und mittels eigens dafür entwickelter App den kernel in gefixter Version aufzuspielen?
Zum Vergrößern anklicken....

Möglich müsste es sein - ich weiss jetzt nicht, ob man per startupscript o.ä. neue inits erstellen lassen kann (der Bug lässt ja nicht direkt Codeausführung zu), aber ansonsten wäre wohl die größte Problematik das von nille02 angesprochene und der logistische Aufwand. Inwiefern sich der Fix auch "einfach so" in nicht mehr aktiv supportete Kernelversionen einbauen lässt (die ja auf vielen Geräten noch im Einsatz sind) wäre auch noch ne interessante Frage ^^
 
Bei den meisten SoCs ist das ein nur noch ein großer Blob.
Zum Vergrößern anklicken....

Das ist nicht so.
Der Linuxkernel steht unter der GPLv2 und bleibt GPLv2 auch bei Android.


@Termy
Canogenmod hat für viele devices und Androidversion das passende.
 
Zuletzt bearbeitet:
tuxnix schrieb:
Das ist nicht so.
Der Linuxkernel steht unter der GPLv2 und bleibt GPLv2 auch bei Android.
Zum Vergrößern anklicken....

Erkläre das mal Mediatek. Die verlangen von den Herstellern extra Geld für die Kernel Sources (Das die ohne den Source ein Gerät nicht verkaufen können interessiert nicht). Ein Lauffähiges Image lässt sich damit auch nicht unbedingt erstellen. Aber solltest du diese Hürde dennoch überwinden musst du den Kernel noch patchen (Bei den umfangreichen Änderungen muss das nicht unbedingt einfach sein), signieren oder den Bootloader patchen.

Andere Hersteller sind auch nicht unbedingt besser. Die Welt ist nicht perfekt und die SoC Hersteller sind die reinsten Drecksläden wenn es um die GPL geht.
 
Inwieweit sich Mediatek die Treiberblobs für seine Chips vergoldet lässt weiß ich nicht.
(Es gab mal eine Auseinandersetzung Google vs. Cyanogenmod die Treiberverwendung betreffend)
Sicher aber wird hier nicht der Linux Quellcode verhökert.

Ich wandel mal meine Idee etwas ab und denke, dass cyanogenmod
sich bald meldet und den Fix der von ihnen verwendeten Kernelversionen bekannt gibt.
Vielleicht ist es auch dann gescheiter gleich auf ein Custom-Rom umzusteigen anstatt nur ein unsupported Android zu fixen.
 
Für Smartphones, für die es schon einen Root gibt, ist das schon eine Option. Wäre nicht die erste Sicherheitslücke, die dafür ausgenutzt wird, siehe z.B. KingRoot.
 
Schnitz schrieb:
@nille2 Und? Windows XP erhält auch keine Updates mehr und es läuft auf vielen Geräten Oder Bada, oder MacOS 9 oder was weiß ich :freak: Und beim aktuellen Windows weiß man gar nicht erst wie viele dreckige Kühe drin stecken weil man den Code nicht prüfen kann.
Zum Vergrößern anklicken....
das simmt alles... nur kann zwar jeder den linuxcode anschauen, aber die wenigen die ihn verstehen, können ihn schon längst nicht mehr überblicken... da hinzu kommt noch, daß ein reines linux(ich meine rein oss) dir in den meißten fällen wenig nützt, weil du auch proprietäre sw dazu installieren mußt(drm-scheiß, grafiktreiber, produktive sw,usw)...
 
Lagerhaus_Jonny schrieb:
Uuuuuuh, wie schlimm.
Jetzt mal im Ernst: um die Lücke auszunutzen braucht man erstmal einen gültigen LOKALEN Linux User.
Zum Vergrößern anklicken....

Ohne mich mit der Materie auszukennen... was wenn durch eine zweite lücke (ohne relevanz) jemand ....
 
Sehe ich das richtig? Durch die Lücke ist das ändern sämtlicher Daten mit Root-Rechten möglich, aber kein ausführen dieser? Reicht es da nicht theoretisch sich z.B. in der /etc/sudoers so einzutragen, dass kein Passwort nötig ist? Dann braucht man nicht mal eine zweite Lücke um alle Rechte zu haben.
Gibt aber bestimmt auch andere Config-Dateien mit denen man ziemlich großen Mist anstellen kann ohne irgendetwas ausführen zu müssen.
 
Ein Angreifer der nicht entdeckt werden möchte würde über die Lücke keine lokelen Dateien verändern sondern über Proc-Schnittstelle das Image im RAM austauschen. Dann verliert er evtl. nach einem Neustart den Zugriff aber wenn das System nicht regelmäßig neu startet...


PS: Appliances mit "geheimen" Kennwort das nur 3 Leuten bekannt ist klingt genau so wie man es falsch macht :)

Was kann da schon passieren...

Aber deine Einschätzung der Lücke sagt schon alles. Wer heute davon ausgeht das "seine" Anwendungen nie das Einfallstor sein können...

Hochmut kommt vor dem Fall. Wach auf.
 
tuxnix schrieb:
Das ist nicht so.
Der Linuxkernel steht unter der GPLv2 und bleibt GPLv2 auch bei Android.
Zum Vergrößern anklicken....
Inwiefern Kernel-Module von der GPL betroffen sind, ist anscheinend umstritten. Das wird wohl auf die gleiche Geschichte hinauslaufen wie Canonicals ZFS-Implementierung.
 
nille02 schrieb:
Sie ist nicht vom Eis.
Zum Vergrößern anklicken....
http://www.heise.de/newsticker/meld...lig-fuer-Dirty-Cow-und-Rowhammer-3359434.html

5/5 Geräte gerootet.
Schnitz schrieb:
Und beim aktuellen Windows weiß man gar nicht erst wie viele dreckige Kühe drin stecken weil man den Code nicht prüfen kann.
Zum Vergrößern anklicken....
Die Besucher können den Quellcode auch mit Software-Tools analysieren, wie tief diese Analysen sind, ist aber unklar. Die ersten Reaktionen aus Brasilien auf das Vorhaben waren aber dennoch positiv. Vertreter des Landes, wo man die USA in Sachen Sicherheit und Privatsphäre besonders kritisch beäugt, sprachen von einem "Schritt in die richtige Richtung".

Das Center in Brasilien ist das bereits vierte seiner Art, ähnliche Einrichtungen hat Microsoft bereits in Redmond, Washington und Brüssel eröffnet.
Zum Vergrößern anklicken....
http://winfuture.de/news,94532.html
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Passend zum Thema

Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz