Du verwendest einen veralteten Browser. Es ist möglich, dass diese oder andere Websites nicht korrekt angezeigt werden. Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
... die durch Schwachstellen in zwei verschiedenen Kernel Modulen erarbeitet wurde. Ist doch genau was ich meine: die Interaktion von so vielen verschiedenen sich ändernden Software-Stückchen kann auch kein großer Konzern immer im Blick haben.
CopyFail wurde durch KI gefunden. DirtyFrag weil ein anderer Entwickler gemerkt hat: "hey, da gibts noch ein Modul, dass so ähnlich arbeitet, mal sehen ob ich auch so einen Exploit finde".
Seit drei Wochen klafft etwa die Zero-Day-Lücke „RedSun“ offen in Windows, ohne dass Microsoft Anstalten macht, einen Patch dagegen auszuliefern. Auch diese Schwachstellen – insgesamt haben sich auch da drei angesammelt, neben „RedSun“ auch „UnDefend“ und „BlueHammer“ – ermöglichen die Rechteausweitung und werden bereits von bösartigen Akteuren missbraucht.
Ich bezog mich nicht aufs "Jetzt", sondern auf das Alter der jeweiligen Lücken. Sowohl copy.fail als auch Dirty Frag sind seit Jahren im Kernel vorhanden gewesen. Warum fällt das nicht auf?
Natürlich tragen sie dazu bei. Dennoch habe ich das Gefühl, dass im Bereich Security nach dem Motto "there's no glory in prevention" vorgegangen wird. Anders kann ich mir nicht erklären, wie diese Lücken so lange offen gestanden haben können. Ich lasse es mir aber gern erklären.
Wie gesagt. Die großen Konzerne hätten die Kapazitäten.
Machen es aber viel zu wenig.
Und diese Kritik ist auch nicht neu. Das äußern die Entwickler teilweise auch selber so.
Zum Beispiel auch ffmpeg. Das benutzt Google zum Beispiel für ihr Youtube. Und die Beschwerde war halt, das die zwar jede Menge Bugs melden. Aber es halt dann dem Projekt überlassen, die zu fixen.
Und so läuft das halt an vielen Stellen.
Die Problematik wurde ja erstmals breit bekannt durch die Heartbleed. Auch damals war ja die Diskussion, das zwar alle openssl benutzen aber kaum jemand sich daran beteiligt.
Insofern ist das durchaus auch schon seit Jahren ein Thema.
Und klar kann man bei einzelnen Bugs immer sagen, das die halt nicht so leicht zu finden waren. Geschenkt. Es geht mir aber um die Gesamtsituation.
Und was das Thema KI angeht: KI bringt hier nichts Neues rein. Sie senkt nur die Kosten, Bugs zu finden. Weil es billiger ist mal ein LLM drüber laufen zu lassen als ein paar Mitarbeiter zu bezahlen, sich mit Security zu beschäftigen. Kosten die sich Großkonzerne sich jahrelang gespart haben.
Ergänzung ()
gimmix schrieb:
Du glaubst doch nicht ernsthaft, dass gerade bei RedHat und Canonical Däumchen gedreht wird?
Zu fragen warum auch nach vielen Jahren immer wieder Schwachstellen im Linux kernel oder einfach Software im allgemeinen gefunden wird, könnte man vergleichen mit der Frage warum immer noch neue Dinge auf der Erde gefunden werden, sei es Tiere, letztens doch gerade eine Inseln oder neue Ressourcen.
Es gibt immer neue Technologien und Herangehensweise (Wissen) um etwas neues zu entdecken! Deswegen wird es wohl auch nie aufhören.
Man muss OpenSource hier zugute halten das es eben auch offen kontrolliert werden kann! Sonst muss man halt Softwarefirmen vertrauen das sie ebensoviel Aufwand in das auffinden und schließen von Sicherheitslücken stecken.
So unterkomplex war die Frage aber auch gar nicht gestellt.
Klar. Wenn man es so simplifiziert, dann kann man da natürlich auch eine entsprechend süffisante Antwort drauf geben.
Du willst dich über die Frage lustig machen, zeigst aber damit bloß, das Du sie eigentlich nicht verstanden hast. ;-)
Tatsächlich wollte ich mich gar nicht darüber lustig machen und wenn man etwas drüber nachdenkt habe ich es auch nicht stark vereinfacht, sondern versucht es verständlicher zu machen!
Bei Sicherheitslücken geht es beim Auffinden in der Regel von den einfachen/offensichtlichen Dingen hin zu komplexen Sachen.
Gerade wurde durch KI rausgefunden das man zwei unabhängig voneinander arbeitende Dienste dazu nutzen kann das System zu überlisten.
Daran hat vorher kaum jemand gedacht! Und jetzt werden direkt mehrere Schwachstellen gefunden, weil man einen anderen Blick auf das System bekommen hat!
In der Tierwelt oder Biologie wird zum Beispiel entdeckt das bestimmte Tierchen nur unter UV Licht sichtbar sind und nun sucht man gezielt mit UV Licht und entdeckt relativ viele neue Arten.
In beiden fällen kann man sich fragen wie konnte das solange unentdeckt bleiben.
Das mit der Insel war ein dämliches Beispiel und das mit dem UV Licht ist auch ein ausgedachtes Beispiel :-D bitte nicht steinigen. Es soll nur erklären das einige Dinge im verborgenen bleiben weil das Bewusstsein dafür noch nicht vorhanden war
Ich will auch gar nicht in Abrede stellen, das es schwierige Bugs gibt die eben nicht so einfach zu finden sind.
Allerdings gilt das halt nicht für jeden Bug der in letzter Zeit gefunden wurde.
Und zumindest meine Äußerungen ging eher so ein bisschen in die Richtung.
Wegen sowas sowieso nicht. :-)
Bei solchen Beispielen geht es ja sowieso nicht so darum, das sie perfekt sind, sondern das sie ungefähr klar machen, was man sagen will. Und ich konnte Dir da auch ausreichend gut folgen, denke ich.
Hast du ein Beispiel?
Ich finde das erschreckende ist die relativ einfache Umsetzung des exploits, aber wie gesagt bei den meisten musste man schon um die Ecke denken, was man in dieser Art halt nicht gemacht hat.
Und nicht wenige Fallen in die man tappt, die hat man sich vorher ja auch selbst gestellt. Insbesondere die in den letzten Jahren stark angewachsene Komplexität (und die wird ja sogar noch weiter zunehmen), erhöhen exponentiell die Wahrscheinlichkeit für Bugs. Und klar. Man braucht sicher für viele Dinge einen gewissen Komplexitätslevel. Aber häufig handelt man sich aus "Bequemlichkeit" mehr Komplexität ein als für das zu lösende Problem eigentlich nötig.
