Skip to content
Vol. 1 · Ed. 2026
CyberGlossary
Deutsch
Entry № 360

Dirty COW (CVE-2016-5195)

Geprüft vonCybersecurity entrepreneur & security researcher

Was ist Dirty COW (CVE-2016-5195)?

Dirty COW (CVE-2016-5195)Race Condition aus 2016 in der Copy-on-Write-Behandlung von Speicher-Mappings des Linux-Kernels, durch die ein lokaler Nutzer durch Schreiben in Read-only-Dateien Root erlangt.

Dirty COW (CVE-2016-5195) ist eine Race Condition im Speichersubsystem des Linux-Kernels, die fast alle Kernel-Versionen von 2007 bis 2016 betraf. Ein Angreifer lässt die Copy-on-Write-Logik wiederholt gegen einen madvise/MADV_DONTNEED-Aufruf rennen, bis ein Schreibvorgang in ein privates Mapping in der zugrundeliegenden Read-only-Datei landet. Kombiniert mit schreibbaren suid-Binaries oder /etc/passwd ermöglicht das zuverlässige lokale Root-Eskalation. Die Lücke betraf Server, Desktops, Embedded-Geräte und Android und wurde real ausgenutzt (u. a. von der Android-Malware ZNIU). Schutz: Kernel mit Fix einspielen (4.8.3, 4.7.9, 4.4.26 oder spätere Distro-Patches), unter Android das Sicherheits-Level vom November 2016 installieren.

Beispiele

  1. 01

    Lokaler Nutzer überschreibt /etc/passwd, um per Dirty COW ein Root-Konto hinzuzufügen.

  2. 02

    Android-Malware ZNIU nutzt Dirty COW, um Geräte zu rooten und einen Backdoor zu installieren.

Häufige Fragen

Was ist Dirty COW (CVE-2016-5195)?

Race Condition aus 2016 in der Copy-on-Write-Behandlung von Speicher-Mappings des Linux-Kernels, durch die ein lokaler Nutzer durch Schreiben in Read-only-Dateien Root erlangt. Es gehört zur Kategorie Schwachstellen der Cybersicherheit.

Was bedeutet Dirty COW (CVE-2016-5195)?

Race Condition aus 2016 in der Copy-on-Write-Behandlung von Speicher-Mappings des Linux-Kernels, durch die ein lokaler Nutzer durch Schreiben in Read-only-Dateien Root erlangt.

Wie schützt man sich gegen Dirty COW (CVE-2016-5195)?

Schutzmaßnahmen gegen Dirty COW (CVE-2016-5195) kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.

Welche anderen Bezeichnungen gibt es für Dirty COW (CVE-2016-5195)?

Übliche alternative Bezeichnungen: CVE-2016-5195, Linux-COW-Race.

Verwandte Begriffe