Categories: Sicherheit

Neue GCC-Version macht Linux unsicher

Das United States Computer Emergency Readiness Team (US-CERT) warnt in einem aktuellen Bulletin vor einer gefährlichen Sicherheitslücke im Compiler GCC ab Version 4.2. Von Entwicklern geschriebener Code, der Pufferüberläufe verhindern soll, wird vom Compiler möglicherweise wegoptimiert, sprich einfach ausgelassen.

Betroffen sind nicht nur Linux-Anwendungen, sondern alle Plattformen, auf denen GCC verwendet wird. Das sind vor allem Unix-Betriebssysteme, etwa Mac OS, Solaris und Free BSD. Auch Windows-Anwendungen, die unter Unix-Kompatibiliäts-Layern, zum Beispiel Cygwin, entwickelt werden, sind meist mit GCC kompiliert.

Die neue Version geht von der Annahme aus, dass die Summe zweier positiver Zahlen immer größer ist als ihre beiden Summanden. Das trifft jedoch für Speicherarithmetik nicht zu, wo ein Überlauf dazu führt, dass eine kleinere Adresse referenziert wird.

Das veränderte Optimierungsverhalten der Version 4.2 führt dazu, dass insbesondere beim Kompilieren neuer Versionen bestehender Anwendungen Pufferüberlaufschutzcode entfernt wird. Betroffen sind vor allem 32-Bit-Anwendungen. Bei 64-Bit-Anwendungen ist der Adressraum so groß, dass ein Integer-Überlauf sehr unwahrscheinlich ist.

Die Empfehlung des US-CERT lautet, vorerst auf die Version 4.2 des GCC zu verzichten. Alternativ können zwei Optionen im Compiler genutzt werden, die beide zwar die Sicherheit gewährleisten, aber auch unerwünschte Nachteile haben: Die Compileroption „˗ftrapv“ kommt einem Pufferüberlauf mit einem Absturz zuvor. Die zweite Option „˗fwrapv“ führt zu einem spürbaren Performanceverlust.

ZDNet.de Redaktion

Recent Posts

Agentforce Testing Center: Management autonomer KI-Agenten

Mit dem Tool können Unternehmen KI-Agenten mithilfe synthetisch generierter Daten testen, um präzise Antworten und…

3 Stunden ago

NiPoGi AM06 PRO Mini PC: Perfekte Kombination aus Leistung, Flexibilität und Portabilität

Kostengünstiger Mini-PC mit AMD Ryzen 7 5825U-Prozessor, 16 GB Arbeitsspeicher (RAM) und 512 GB SSD.

11 Stunden ago

Black Friday: Vorsicht vor schädlichen QR-Codes

Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.

3 Tagen ago

Black Friday: Zahl der ominösen Shopping-Websites steigt

Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.

3 Tagen ago

SmokeBuster bekämpft SmokeLoader

Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.

3 Tagen ago

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

4 Tagen ago