Twee beveiligingsonderzoekers van Google hebben twintig fouten in de Windows-, Linux- en VMwarekernel ontdekt, waarvan de helft nog niet gepatcht is. Volgens Google engineers Julien Tinnes en Tavis Ormandy, moet de beveiliging van de kernel dan ook beter. De twee onderzoekers demonstreerden hun werk tijdens de CanSecWest conferentie, in de hoop dat ontwikkelaars van besturingssystemen het aanvalsoppervlak van de kernel verkleinen. Het aanvallen van de kernel is zeer complex, maar geeft aanvallers wel volledige toegang tot het systeem. "De complexiteit van de kernel zorgt voor diverse en interessante logische fouten", aldus Tinnes. "Het is misschien complexer, maar het is veel interessanter omdat je kunt doen wat je wilt."

Linux
Kernelfouten in Linux zouden vaker voorkomen, toch laten aanvallers die links liggen omdat het besturingssysteem minder gebruikers heeft. Het aantal bugs in de Windowskernel is aan het groeien, zo laten de onderzoekers weten. De afgelopen zeven jaar werden zes op afstand te misbruiken fouten ontdekt. Om wat voor lekken het precies gaat willen Tinnes en Ormandy niet zeggen, behalve dat ongeveer de helft niet gepatcht is.

In het geval van de Linuxkernel gaat het onder andere om memory corruption fouten, zes klassieke buffer overflows en verschillende null pointer references. Het patchen van de problemen was tot voor kort vrij lastig. Volgens Tinnes beschikte tijdens een bepaalde periode elke Linuxversie over een kwetsbare kernel. "De Linuxkernel-ontwikkelaars begrepen niet gevolgen voor de beveiliging. Vandaag de dag begrijpen mensen dat het een probleem is."