Zahlreiche Bibliotheken des Displayservers X.org sind von Schwachstellen betroffen.
Zahlreiche Bibliotheken des Displayservers X.org sind von Schwachstellen betroffen. (Bild: X.org)

Displayserver Fast alle X.org-Bibliotheken mit Sicherheitslücken

28 teils gefährliche Sicherheitslücken in den zahlreichen Bibliotheken des Displayservers X.org haben die Entwickler geschlossen. Sie betreffen alle bisherigen Versionen des X Window System.

Anzeige

Solange X Clients und der Server vom selben Benutzer gestartet und verwendet werden, stellen die jetzt gefundenen Sicherheitslücken kein Problem dar, wie die Entwickler vom X.org-Projekt schreiben. Wenn jedoch ein privilegierter Client eine Verbindung zu einem unprivilegierten Server aufbaut, etwa zu einem virtuellen Xserver wie Xvfb oder Xephyr, dann können sich Benutzer unter Umständen Root-Rechte verschaffen.

Da es sich um Fehler in der Handhabung der Protokolle handelt, sind nahezu alle Client-Bibliotheken betroffen. Ermittelt hat sie der Sicherheitsexperte Ilja van Sprundel von der Firma Ioactive. Er wandte sich an die X.org-Entwickler und gemeinsam erarbeiteten sie Lösungen, die jetzt im Code umgesetzt wurden.

Bei den gefundenen Fehlern handelt es sich unter anderem um Integer Overflows, die bei der Berechnung des benötigten Speichers auftreten können. Davon betroffen sind zahlreiche Funktionen in vielen Bibliotheken, darunter LibX11 bis Version 1.5.99.901, LibXinerama 1.1.2 (CVE-2013-1985), LibXp 1.0.1 (CVE-2013-2062), LibXrandr 1.4.0 (CVE-2013-1986), LibXrender 0.9.7 (CVE-2013-1987), LibXRes 1.0.6 (CVE-2013-1988), LibGLX in Mesa 9.1.1 (CVE-2013-1993) sowie libchromeXvMC und libchromeXvMCPro in Openchrome 0.3.2 (CVE-2013-1994).

In den beiden Bibliotheken LibXi 1.7.1 (CVE-2013-1995) und LibFS 1.0.4 (CVE-2013-1996) werden die Vorzeichen während der Berechnung des benötigten Speichers nicht hinreichend überprüft. Pufferüberläufe wegen mangelnder Verifizierung der Länge oder Offset-Werte können in den Bibliotheken LibX11 1.5.99.901 (CVE-2013-1997) oder LibXv 1.0.7 (CVE-2013-1998) auftreten. LibX11 1.5.99.901 hat auch weitere Schwachstellen, darunter Probleme beim Parsen von benutzerspezifischen Dateien.

Patches sind inzwischen im Github-Repository erhältlich.


lisgoem8 04. Sep 2013

Dürften aber besonders unter Windows deutlich mehr sein. Ausserdem wird kein...

LustigerWanderer 31. Aug 2013

Dieses Märchen vom sicherereren Linux stammt wohl aus einer Zeit, wo Linux noch wenig...

Kommentieren



Anzeige

  1. Projektmanager (m/w)
    Abrechnungszentrum Emmendingen, Emmendingen
  2. Medieninformatiker/in
    Bayerisches Staatsministerium für Bildung und Kultus, Wissenschaft und Kunst, Regensburg
  3. System- und SW Architekt Plattform (m/w)
    Robert Bosch Car Multimedia GmbH, Hildesheim
  4. Software Quality Engineer (m/w)
    Takata AG, Berlin

 

Detailsuche


Top-Angebote
  1. TIPP: Die Hobbit Trilogie (3 Steelbooks + Bilbo's Journal) [Blu-ray] [Limited Edition]
    49,99€ Release 23.04.
  2. NEU: Dell UltraSharp U2715H LED IPS
    429,00€ inkl. Versand
  3. NEU: Buhl WISO Steuer-Sparbuch 2015
    17,99€ inkl. Versand

 

Weitere Angebote


Folgen Sie uns
       


  1. Netzneutralität

    FCC verbietet Überholspuren im Netz

  2. Produktpräsentation

    Apple-Event für 9. März angekündigt

  3. Netzausbau

    Telekom will LTE-Abdeckung auf 95 Prozent erhöhen

  4. Anbieterwechsel

    Wenn die Telekom-Subfirma nicht einmal klingelt

  5. Privatsphäre

    Privdog schickt Daten unverschlüsselt nach Hause

  6. Watch Urbane LTE

    LG präsentiert Smartwatch zum Telefonieren

  7. VATM

    "Telekom kommt mit Vectoring-Vorstoß nicht durch"

  8. NSA-Ausschuss

    BND streitet Mithilfe bei US-Drohnenkrieg ab

  9. Solid State Drive

    Zurückgezogenes Firmware-Update legt Samsungs 850 Pro lahm

  10. Elektromobilität

    Formel-E-Teams dürfen eigenen Antriebsstrang entwickeln



Haben wir etwas übersehen?

E-Mail an news@golem.de



Fertigungstechnik: Der 14-Nanometer-Schwindel
Fertigungstechnik
Der 14-Nanometer-Schwindel
  1. Ezchip Tilera Tile-Mx100 Der 100-ARM-Netzwerkprozessor
  2. Britischer Röhrencomputer EDSAC Seltenes Bauteil in den USA gefunden
  3. Prozessor AMDs Zen soll acht Kerne in 14-nm-Technik bieten

IMHO: Mars One wird scheitern
IMHO
Mars One wird scheitern
  1. Raumfahrt Raumsonde New Horizons knipst Pluto-Monde
  2. Saturnmond Titan Nasa baut ein U-Boot für die Raumfahrt
  3. Kamera der Apollo-11-Mission Neil Armstrongs Souvenirs von der Mondreise

Filmkritik Citizenfour: Edward Snowden, ganz nah
Filmkritik Citizenfour
Edward Snowden, ganz nah
  1. Operation Glotaic BND griff Daten offenbar über Tarnfirma ab
  2. Laura Poitras Citizenfour erhält einen Oscar
  3. Spionage Geheimdienste klauten SIM-Karten-Schlüssel

  1. Re: So ist das heute

    Milber | 23:46

  2. Warum werden da 50 Mio locker gemacht

    Lichtfeld | 23:42

  3. Re: Abdeckung Berliner U-Bahn

    anonfag | 23:42

  4. Re: "Darüber hinaus könnte das MacBook Air mit 12...

    violator | 23:38

  5. Re: Wenn wir nicht gewinnen, dann treten wir...

    486dx4-160 | 23:36


  1. 23:14

  2. 21:37

  3. 20:10

  4. 19:13

  5. 18:22

  6. 18:18

  7. 18:16

  8. 17:07


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel