Google Project Zero: trage patches Linux zijn gevaarlijk voor gebruikers

De ontwikkelaars van Ubuntu en Debian krijgen een waarschuwing van Google’s Project Zero. Jann Horn, de onderzoeker van Project Zero, die de Meltdown- en Spectre-bugs vond, roept hen op om sneller hun Linux-distro’s van updates te voorzien. Anders worden gebruikers onnodig lang blootgesteld aan bedreigingen.

Volgens Horn zijn sommige Linux-distro’s te traag met het uitbrengen van nieuwe versies. Door niet snel genoeg een nieuwe kernel-update uit te brengen, lopen gebruikers onnodige risico’s. Horn wijst erop dat zodra een patch publiekelijk bekend wordt gemaakt, aanvallers die gaan gebruiken om exploits te ontwikkelen. Eindgebruikers zijn door de manier waarop Linux werkt, met verschillende distributies, extra kwetsbaar.

Gevaarlijke exploit

Enige tijd geleden trof Horn in Ubuntu 18.04 een gevaarlijke exploit aan. Die werd een dag daarna al gedicht door Linux-oprichter Linus Rovalds, met een stabiele kernel-lancering. Maar sommige distro’s doen er volgens Horn veel te lang over om een nieuwe stabiele kernelrelease naar hun gebruikers te brengen.

Zodra een patch is toegepast in de upstream-kernel, wordt deze publiek gemaakt. Dat is het moment waarop een aanvaller de kans krijgt een exploit te ontwikkelen. Daartegen zijn gebruikers pas beschermd op het moment dat de ontwikkelaar van hun distro een stabiele kernel uitbrengt. Daar komt nog bij dat de gebruiker uiteindelijk de patch zelf moet installeren, waar ze soms enige tijd voor nodig hebben.

Debian en Ubuntu

Horn uit ook specifiek kritiek op distributies Debian en Ubuntu. De laatste update van Debian vond plaats op 21 augustus en Ubuntu op 27 augustus. De nieuwe kritische fix van de problemen die voortkomen uit de eerder ontdekte exploit, werd pas op 1 oktober beschikbaar gemaakt. Daarmee hebben gebruikers lang risico’s gelopen, want de specifieke exploit werd op 12 september ontdekt.

Aangezien de kans groot is dat er de komende tijd meer van dit soort exploits aangetroffen worden in Linux-distro’s, roept Horn ontwikkelaars op om sneller updates uit te brengen naar hun systemen. Alleen zo blijven gebruikers optimaal beschermd tegen hackers.