Displayserver: Fast alle X.org-Bibliotheken mit Sicherheitslücken
Zahlreiche Bibliotheken des Displayservers X.org sind von Schwachstellen betroffen. (Bild: X.org)

Displayserver Fast alle X.org-Bibliotheken mit Sicherheitslücken

28 teils gefährliche Sicherheitslücken in den zahlreichen Bibliotheken des Displayservers X.org haben die Entwickler geschlossen. Sie betreffen alle bisherigen Versionen des X Window System.

Anzeige

Solange X Clients und der Server vom selben Benutzer gestartet und verwendet werden, stellen die jetzt gefundenen Sicherheitslücken kein Problem dar, wie die Entwickler vom X.org-Projekt schreiben. Wenn jedoch ein privilegierter Client eine Verbindung zu einem unprivilegierten Server aufbaut, etwa zu einem virtuellen Xserver wie Xvfb oder Xephyr, dann können sich Benutzer unter Umständen Root-Rechte verschaffen.

Da es sich um Fehler in der Handhabung der Protokolle handelt, sind nahezu alle Client-Bibliotheken betroffen. Ermittelt hat sie der Sicherheitsexperte Ilja van Sprundel von der Firma Ioactive. Er wandte sich an die X.org-Entwickler und gemeinsam erarbeiteten sie Lösungen, die jetzt im Code umgesetzt wurden.

Bei den gefundenen Fehlern handelt es sich unter anderem um Integer Overflows, die bei der Berechnung des benötigten Speichers auftreten können. Davon betroffen sind zahlreiche Funktionen in vielen Bibliotheken, darunter LibX11 bis Version 1.5.99.901, LibXinerama 1.1.2 (CVE-2013-1985), LibXp 1.0.1 (CVE-2013-2062), LibXrandr 1.4.0 (CVE-2013-1986), LibXrender 0.9.7 (CVE-2013-1987), LibXRes 1.0.6 (CVE-2013-1988), LibGLX in Mesa 9.1.1 (CVE-2013-1993) sowie libchromeXvMC und libchromeXvMCPro in Openchrome 0.3.2 (CVE-2013-1994).

In den beiden Bibliotheken LibXi 1.7.1 (CVE-2013-1995) und LibFS 1.0.4 (CVE-2013-1996) werden die Vorzeichen während der Berechnung des benötigten Speichers nicht hinreichend überprüft. Pufferüberläufe wegen mangelnder Verifizierung der Länge oder Offset-Werte können in den Bibliotheken LibX11 1.5.99.901 (CVE-2013-1997) oder LibXv 1.0.7 (CVE-2013-1998) auftreten. LibX11 1.5.99.901 hat auch weitere Schwachstellen, darunter Probleme beim Parsen von benutzerspezifischen Dateien.

Patches sind inzwischen im Github-Repository erhältlich.


lisgoem8 04. Sep 2013

Dürften aber besonders unter Windows deutlich mehr sein. Ausserdem wird kein...

LustigerWanderer 31. Aug 2013

Dieses Märchen vom sicherereren Linux stammt wohl aus einer Zeit, wo Linux noch wenig...

Kommentieren



Anzeige

  1. Internationaler Produktmanager Tools & Services Software (m/w)
    Rodenstock GmbH, München
  2. Leiter Development Architectural Aspects (m/w)
    Festo AG & Co. KG, Esslingen bei Stuttgart
  3. Project Manager als Rollout-Koordinator (m/w)
    Daimler AG, Stuttgart
  4. IT Prozess- und Projektmanager/in
    Robert Bosch GmbH, Willershausen

 

Detailsuche


Folgen Sie uns
       


  1. Onlinebestellung

    Media Markt eröffnet ersten Drive-in

  2. Clang

    Kickstarter-Spiel von Neal Stephenson gescheitert

  3. Microsoft Office

    Nächstes Office wieder mit interaktivem Assistenten

  4. Shinra

    Square Enix will Spiele streamen

  5. Leicht zu reparieren

    iFixit zerlegt das iPhone 6 Plus und ist angetan

  6. Bleep und Ricochet

    Chatten ohne Metadaten

  7. Potenzielles Sicherheitsproblem

    iOS-8-Tastaturen wollen mithören

  8. Concur

    SAP zahlt 6,5 Milliarden Euro für Zukauf

  9. Speicherdienst

    Apple bringt iCloud Drive für Windows

  10. Lytro

    Lichtfeldfotografie bildet die Tiefe der Welt ab



Haben wir etwas übersehen?

E-Mail an news@golem.de



Netflix-Start in Deutschland: Der Kampf um den Video-on-Demand-Markt
Netflix-Start in Deutschland
Der Kampf um den Video-on-Demand-Markt

Test Bernd das Brot: "Dieses Spiel ist Mist"
Test Bernd das Brot
"Dieses Spiel ist Mist"
  1. The Devil's Men Lebensgefahr im Steampunk-Adventure
  2. Life is Strange Zeitmanipulation als Abenteuer
  3. Test Valiant Hearts Tapfere Herzen im Ersten Weltkrieg

DDR-Hackerfilm Zwei schräge Vögel: Mit Erotik und Kybernetik ins perfekte Chaos
DDR-Hackerfilm Zwei schräge Vögel
Mit Erotik und Kybernetik ins perfekte Chaos
  1. Miraisens Virtuelle Objekte werden ertastbar
  2. Autodesk Pteromys konstruiert Papiergleiter am Computer

    •  / 
    Zum Artikel