Es ist eine Reihe besonders unerfreulicher Lücken, die Sicherheitsforscher von Google und Intel da in der unter Linux genutzten Bluetooth-Implementierung Bluez gefunden haben. Unter dem Namen "Bleedingtooth" weisen die beiden Unternehmen konkret auf drei Sicherheitslücken hin, die gemeinsam genutzt werden können, um von außen Schadcode auf ein ungeschütztes System einzuschmuggeln und zur Ausführung zu bringen.

Zweifelhafte Veröffentlichungspolitik

Das ist unerfreulich, generell reagieren Linux-Distributionen aber sehr schnell auf solche Probleme. In diesem Fall war das aber gar nicht möglich, denn wie sich nun zeigt, hat Intel die Lücke öffentlich gemacht, ohne dass sie in aktuellen Versionen des Kernels überhaupt geschlossen war. Auch wurden die Distributionen nicht informiert, wodurch auch keine passenden Patches zur Verfügung standen. Öffentlich klang das ganz anders: In seiner Ankündigung sprach Intel explizit davon, dass der Fehler bereits ausgeräumt sei.

Ein Demovideo von Google demonstriert den Angriff.
TheFloW

Angesichts dessen übt der bei Google angestellte Linux-Entwickler und Sicherheitsexperte Matthew Garrett, der aber nicht an der Entdeckung der Lücken beteiligt war, nun schwere Kritik an Intel. Bereits Anfang des Jahres habe Intel ohne Rücksicht auf die Linux-Community Bluetooth-Lücken öffentlich gemacht, diese musste sich dann intern alle Informationen zusammentragen.

Kernel-Versionen

Der aktuelle Fall zeigt jedenfalls zumindest ein gehöriges Informationsdefizit bei Intel über die Abläufe in der Linux-Welt. Denn was Intel damit meint, wenn es davon spricht, dass die Lücke "geschlossen" wurde: Man hat die entsprechenden Änderung schlicht in die Entwicklungsversion des Kernels eingebracht – also für Linux 5.10. Dieses wird aber erst in einigen Wochen fertig, um die aktuellste stabile Ausgabe, das erst vor wenigen Tagen veröffentlichte Linux 5.9, kümmerte man sich hingegen nicht.

Trotzdem ist davon auszugehen, dass die klassischen Linux-Distributionen für Desktop, Server und Cloud bald mit entsprechenden Updates reagieren werden. Ein Problem könnte "Bleedingtooth" hingegen für den Bereich des "Internet der Dinge" werden, da es hier mit den Updates oft erheblich schlechter aussieht. Kein Problem ist das Ganze hingegen für Android-Smartphones. Diese setzen zwar auf Linux auf, verwenden aber eine eigene Bluetooth-Implementierung. (apo, 16.10.2020)