- Onderhouders stelden een killswitch-mechanisme voor om kwetsbare kernelfuncties tijdens runtime tijdelijk uit te schakelen via securityfs
- De functie is bedoeld om ernstige fouten, zoals Copy Fail en Dirty Frag, te beperken totdat er patches arriveren, hoewel dit het risico van systeeminstabiliteit met zich meebrengt
- Het wordt door de gemeenschap beoordeeld en is gepositioneerd als een noodmaatregel, en niet als vervanging voor goede patches
De Linux-kernel zou binnenkort een nieuwe functie kunnen krijgen die dient als tijdelijke bescherming tegen zeer ernstige kwetsbaarheden totdat patches worden geïmplementeerd.
Eén van de mede-onderhouders van de stabiele Linux-kernel, Sasha Levin, heeft onlangs een nieuwe patch voorgesteld waarmee systeembeheerders een kwetsbare kernelfunctie tijdelijk kunnen uitschakelen.
Op die manier zouden gebruikers, als beveiligingsonderzoekers in de toekomst kwaadaardige code ontdekken, de kernel snel kunnen instrueren deze niet te gebruiken. De functie lost de onderliggende problemen niet op, maar omdat de functie een fout retourneert, kan deze functie voorkomen dat de kwetsbaarheid ernstige schade aanricht voordat een goede patch wordt geïmplementeerd.
Goed idee, werkt (niet)?
Indien aangenomen zou de functie beschikbaar zijn via de securityfs-interface van de kernel, waardoor beheerders killswitches kunnen inschakelen voor specifieke functies, waardoor ze onmiddellijk onbruikbaar zouden worden. De wijziging wordt van kracht tijdens runtime en blijft actief totdat deze wordt uitgeschakeld of totdat het systeem opnieuw wordt opgestart.
Op papier klinkt het idee goed. In de praktijk zijn er veel uitdagingen en bewegende delen die moeten worden aangepakt. Wanneer een functie wordt uitgeschakeld, kan dit het hele systeem verstoren of andere onderdelen laten crashen. Het zou ook extra kwetsbaarheden kunnen introduceren.
Daarom is het belangrijk op te merken dat de functie niet bedoeld is voor algemeen gebruik. Het is ook de moeite waard te vermelden dat deze functie niet kan dienen als vervanging voor patches.
Toch zou het een solide EHBO-doos kunnen zijn om verdere escalatie met zeer ernstige kwetsbaarheden te voorkomen.
Volgens Linuxiackwam het idee voor de voorgestelde patch na de onthulling van twee kritieke kwetsbaarheden in de Linux-kernel: Copy Fail en Dirty Frag. De eerste werd begin maart 2026 ontdekt, waardoor kwaadwillende actoren bevoorrechte toegang kregen tot alle grote Linux-distributies. Dat laatste werd daarentegen eind vorige week ontdekt. Het was ook een zero-day die rootprivileges toestond, maar op het moment van bekendmaking was er geen patch aanwezig die het extreem gevaarlijk maakte.
De nieuwe functie wordt momenteel beoordeeld door de Linux-gemeenschap en is nog niet geïntroduceerd.
De beste antivirus voor elk budget
Volg TechRadar op Google Nieuws En voeg ons toe als voorkeursbron om ons deskundig nieuws, recensies en meningen in uw feeds te krijgen.
