Seit einigen Tagen wissen wir, dass Bluetooth noch unsicherer ist als bisher angenommen. Dafür sorgte »BleedingTooth«, womit die Zusammenfassung dreier Lücken in BlueZ, dem Bluetooth-Stack von Linux, gemeint sind, die Sicherheitsforscher von Google und Intel kürzlich entdeckt haben.
Drei Bluetooth Lücken
Es handelt sich um drei Lücken, die als CVE-2020-24490, CVE-2020-12352 und CVE-2020-12351 katalogisiert sind. Während die ersten beiden Lücken als »moderate« eingestuft wurden, gilt CVE-2020-12351 beim Gefährdungspotenzial als »high«. Die Lücken sind im CVSS Scoring System zwischen 7.1 und 8.3 bewertet. Die Lücken erlauben unter Umständen eine Rechteausweitung sowie das Einbringen und die Ausführung von Remote Code, ohne dass der Nutzer involviert ist.
Über das genaue Ausmaß gibt es unterschiedliche Aussagen, klar ist, dass sich ein Angreifer innerhalb der Reichweite des Geräts befinden muss. BleedingTooth wurde bereits im Sommer 2016 eingeschleppt und betrifft alle Kernel-Versionen seit 4.8. Für Linux 5.10 wurden Patches eingereicht, deren Integration für 5.9 derzeit vorbereitet werden.
Kritik an früher Veröffentlichung
Der bei Google angestellte bekannte Sicherheitsforscher Matthew Garrett kritisiert nun Intel für die verfrühte Veröffentlichung eines Security Advisories, bevor aktuelle Kernel und Distributionen Patches erhalten haben. Zum Zeitpunkt der Veröffentlichung gab es lediglich einen Patch für den im Dezember erwarteten Kernel 5.10, der aber noch nicht für aktuelle Kernel zurückportiert war. Eigentlich hätte der Patch im Mainline anstatt im Next-Branch eingereicht werden sollen. Bereits einmal in diesem Jahr hatte Intel laut Garrett eine Bluetooth-Lücke zu früh veröffentlicht, ohne die Distributionen zu informieren. Das habe er dann selbst getan.
Wie auf dem IT-Blog Marius Welt zu lesen ist, hat zumindest Fedora Kernel-Updates für die Kernel 5.8,14 und 5.8.15 gegen BleedingTooth verfügbar gemacht.