Zahlreiche Bibliotheken des Displayservers X.org sind von Schwachstellen betroffen.
Zahlreiche Bibliotheken des Displayservers X.org sind von Schwachstellen betroffen. (Bild: X.org)

Displayserver Fast alle X.org-Bibliotheken mit Sicherheitslücken

28 teils gefährliche Sicherheitslücken in den zahlreichen Bibliotheken des Displayservers X.org haben die Entwickler geschlossen. Sie betreffen alle bisherigen Versionen des X Window System.

Anzeige

Solange X Clients und der Server vom selben Benutzer gestartet und verwendet werden, stellen die jetzt gefundenen Sicherheitslücken kein Problem dar, wie die Entwickler vom X.org-Projekt schreiben. Wenn jedoch ein privilegierter Client eine Verbindung zu einem unprivilegierten Server aufbaut, etwa zu einem virtuellen Xserver wie Xvfb oder Xephyr, dann können sich Benutzer unter Umständen Root-Rechte verschaffen.

Da es sich um Fehler in der Handhabung der Protokolle handelt, sind nahezu alle Client-Bibliotheken betroffen. Ermittelt hat sie der Sicherheitsexperte Ilja van Sprundel von der Firma Ioactive. Er wandte sich an die X.org-Entwickler und gemeinsam erarbeiteten sie Lösungen, die jetzt im Code umgesetzt wurden.

Bei den gefundenen Fehlern handelt es sich unter anderem um Integer Overflows, die bei der Berechnung des benötigten Speichers auftreten können. Davon betroffen sind zahlreiche Funktionen in vielen Bibliotheken, darunter LibX11 bis Version 1.5.99.901, LibXinerama 1.1.2 (CVE-2013-1985), LibXp 1.0.1 (CVE-2013-2062), LibXrandr 1.4.0 (CVE-2013-1986), LibXrender 0.9.7 (CVE-2013-1987), LibXRes 1.0.6 (CVE-2013-1988), LibGLX in Mesa 9.1.1 (CVE-2013-1993) sowie libchromeXvMC und libchromeXvMCPro in Openchrome 0.3.2 (CVE-2013-1994).

In den beiden Bibliotheken LibXi 1.7.1 (CVE-2013-1995) und LibFS 1.0.4 (CVE-2013-1996) werden die Vorzeichen während der Berechnung des benötigten Speichers nicht hinreichend überprüft. Pufferüberläufe wegen mangelnder Verifizierung der Länge oder Offset-Werte können in den Bibliotheken LibX11 1.5.99.901 (CVE-2013-1997) oder LibXv 1.0.7 (CVE-2013-1998) auftreten. LibX11 1.5.99.901 hat auch weitere Schwachstellen, darunter Probleme beim Parsen von benutzerspezifischen Dateien.

Patches sind inzwischen im Github-Repository erhältlich.


lisgoem8 04. Sep 2013

Dürften aber besonders unter Windows deutlich mehr sein. Ausserdem wird kein...

LustigerWanderer 31. Aug 2013

Dieses Märchen vom sicherereren Linux stammt wohl aus einer Zeit, wo Linux noch wenig...

Kommentieren



Anzeige

  1. Mitarbeiter IT Support (m/w)
    Geberit Verwaltungs GmbH, Pfullendorf
  2. Datenbankentwickler (m/w)
    über Jobware Personalberatung, Großraum Hannover
  3. Cloud Consultants (m/w)
    Storm Reply, Hamburg
  4. Manager Procurement Processes & Systems (m/w)
    Fresenius Medical Care Deutschland GmbH, Bad Homburg

 

Detailsuche


Top-Angebote
  1. NEU: Videobearbeitungssoftware von Magix reduziert
    (u. a. MAGIX Video deluxe 2015 46,95€)
  2. NUR HEUTE: Transcend SSD370S SSD 256GB (2,5", SATA III, MLC) Aluminium-Gehäuse silber
    84,90€
  3. NUR HEUTE: Transcend JetFlash 710S USB-Stick 32GB (Metallgehäuse, wasserfest, USB 3.0) silber
    14,99€

 

Weitere Angebote


Folgen Sie uns
       


  1. Projekt Astoria

    Algorithmen gegen Schnüffler im Tor-Netzwerk

  2. Raumfahrt

    Marsrover Curiosity sieht wieder scharf

  3. Server-Prozessor

    Intels Skylake-EX bietet 28 Kerne und sechs Speicherkanäle

  4. Berlin E-Prix

    Motoren, die nach Star Wars klingen

  5. Licht

    Indoor-Navigationssystem führt zu Sonderangeboten im Supermarkt

  6. Handmade

    Amazon bereitet Marktplatz für Handgefertigtes vor

  7. BND-Skandal

    EU-Kommissar Oettinger testet Kryptohandy

  8. BND-Affäre

    Keine Frage der Ehre

  9. Sensor ausgetrickst

    So klaut man eine Apple Watch

  10. CD Projekt Red

    The Witcher 3 hat Speicherproblem auf Xbox One



Haben wir etwas übersehen?

E-Mail an news@golem.de



Apps für Googles Cardboard: Her mit der Pappe!
Apps für Googles Cardboard
Her mit der Pappe!
  1. Game of Thrones Auf der Mauer weht ein eisiger Wind
  2. VR im Journalismus So nah, dass es fast wehtut
  3. Deep angespielt "Atme tief ein und tauche durch die virtuelle Welt"

SSD HyperX Predator im Test: Kingstons Mischung ist gelungen
SSD HyperX Predator im Test
Kingstons Mischung ist gelungen
  1. Z-Drive 6300 Neue SSD bietet bis zu 6,4 TByte Speicherplatz
  2. Crucial BX100 und MX200 im Test Mehr SSD pro Euro gibt's derzeit nicht
  3. Plextor M6e Black Edition im Kurztest Auch eine günstige SSD kann teuer erkauft sein

Parrot Bebop im Test: Die Einstiegsdrohne
Parrot Bebop im Test
Die Einstiegsdrohne
  1. Hycopter Wasserstoffdrohne soll vier Stunden fliegen
  2. Drohne Der Origami-Copter aus der Schweiz
  3. Filmindustrie James Cameron unterstützt Drohnenwettbewerb

  1. Re: Shuttleworth macht den Exit

    hxhjx | 11:29

  2. Re: Nach Multicore kommt Manycore

    SchmuseTigger | 11:25

  3. Normaler Skylake-Xeon E3?

    SchmuseTigger | 11:24

  4. Re: Besatzungsrecht

    Cerdo | 11:23

  5. Re: das ist doch Vatetlandsverat

    Buttermilch | 11:23


  1. 11:28

  2. 11:11

  3. 10:25

  4. 21:43

  5. 14:05

  6. 12:45

  7. 10:53

  8. 09:00


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel