Anzeige
Zahlreiche Bibliotheken des Displayservers X.org sind von Schwachstellen betroffen.
Zahlreiche Bibliotheken des Displayservers X.org sind von Schwachstellen betroffen. (Bild: X.org)

Displayserver Fast alle X.org-Bibliotheken mit Sicherheitslücken

28 teils gefährliche Sicherheitslücken in den zahlreichen Bibliotheken des Displayservers X.org haben die Entwickler geschlossen. Sie betreffen alle bisherigen Versionen des X Window System.

Anzeige

Solange X Clients und der Server vom selben Benutzer gestartet und verwendet werden, stellen die jetzt gefundenen Sicherheitslücken kein Problem dar, wie die Entwickler vom X.org-Projekt schreiben. Wenn jedoch ein privilegierter Client eine Verbindung zu einem unprivilegierten Server aufbaut, etwa zu einem virtuellen Xserver wie Xvfb oder Xephyr, dann können sich Benutzer unter Umständen Root-Rechte verschaffen.

Da es sich um Fehler in der Handhabung der Protokolle handelt, sind nahezu alle Client-Bibliotheken betroffen. Ermittelt hat sie der Sicherheitsexperte Ilja van Sprundel von der Firma Ioactive. Er wandte sich an die X.org-Entwickler und gemeinsam erarbeiteten sie Lösungen, die jetzt im Code umgesetzt wurden.

Bei den gefundenen Fehlern handelt es sich unter anderem um Integer Overflows, die bei der Berechnung des benötigten Speichers auftreten können. Davon betroffen sind zahlreiche Funktionen in vielen Bibliotheken, darunter LibX11 bis Version 1.5.99.901, LibXinerama 1.1.2 (CVE-2013-1985), LibXp 1.0.1 (CVE-2013-2062), LibXrandr 1.4.0 (CVE-2013-1986), LibXrender 0.9.7 (CVE-2013-1987), LibXRes 1.0.6 (CVE-2013-1988), LibGLX in Mesa 9.1.1 (CVE-2013-1993) sowie libchromeXvMC und libchromeXvMCPro in Openchrome 0.3.2 (CVE-2013-1994).

In den beiden Bibliotheken LibXi 1.7.1 (CVE-2013-1995) und LibFS 1.0.4 (CVE-2013-1996) werden die Vorzeichen während der Berechnung des benötigten Speichers nicht hinreichend überprüft. Pufferüberläufe wegen mangelnder Verifizierung der Länge oder Offset-Werte können in den Bibliotheken LibX11 1.5.99.901 (CVE-2013-1997) oder LibXv 1.0.7 (CVE-2013-1998) auftreten. LibX11 1.5.99.901 hat auch weitere Schwachstellen, darunter Probleme beim Parsen von benutzerspezifischen Dateien.

Patches sind inzwischen im Github-Repository erhältlich.


eye home zur Startseite
lisgoem8 04. Sep 2013

Dürften aber besonders unter Windows deutlich mehr sein. Ausserdem wird kein...

LustigerWanderer 31. Aug 2013

Dieses Märchen vom sicherereren Linux stammt wohl aus einer Zeit, wo Linux noch wenig...

Kommentieren



Anzeige

  1. HR Experte (m/w) Prozessmanagement
    MBDA Deutschland, Schrobenhausen
  2. Mitarbeiter Zentrale-IT Service Desk (m/w)
    Raben Trans European Germany GmbH, Mannheim
  3. SAP Consultant (m/w) Schwerpunkt Support
    Fresenius Netcare GmbH, St. Wendel
  4. Software Integrator (m/w) im Bereich Fahrerassistenzsysteme
    Continental AG, Lindau

Detailsuche



Anzeige
Hardware-Angebote
  1. TIPP: PCGH i5-6600K Overclocking Aufrüst Kit @ 4.5 GHz
    nur 649,90€
  2. Kindle, 15,2 cm (6 Zoll)
    nur 59,99€
  3. BESTPREIS: ASUS GeForce GTX 960 OC Black + Rise of the Tomb Raider + Need for Speed
    189,90€ inkl. Versand (Verkäufer Alternate)

Weitere Angebote


Folgen Sie uns
       


  1. Quantum Break

    27-GByte-Patch deaktiviert das Upscaling

  2. Torsploit

    Früheres Mitglied der Tor-Entwickler half dem FBI

  3. Emulation

    Windows 95 auf der Apple Watch

  4. Valve Steam

    Zwei-Faktor-Authentifizierung hilft gegen Cheater

  5. Hitman

    Patch behindert Spielstart im Direct3D-12-Modus

  6. Peter Molyneux

    Lionhead-Studio ist Geschichte

  7. Deskmini

    Asrock zeigt Rechner mit Intels Mini-STX-Formfaktor

  8. Die Woche im Video

    Schneller, höher, weiter

  9. Ransomware

    Verfassungsschutz von Sachsen-Anhalt wurde verschlüsselt

  10. Kabelnetzbetreiber

    Angeblicher 300-Millionen-Deal zwischen Telekom und Kabel BW



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Das Flüstern der Alten Götter im Test: Düstere Evolution
Das Flüstern der Alten Götter im Test
Düstere Evolution
  1. E-Sports ESL schließt Team Youporn aus
  2. Blizzard Hearthstone-Cheat-Tools verteilen Malware
  3. Blizzard Hearthstone sperrt alte Karten im neuen Standardmodus

PGP im Parlament: Warum mein Abgeordneter keine PGP-Mail öffnen kann
PGP im Parlament
Warum mein Abgeordneter keine PGP-Mail öffnen kann

Nordrhein-Westfalen: Deutsche Telekom beginnt mit Micro-Trenching für Glasfaser
Nordrhein-Westfalen
Deutsche Telekom beginnt mit Micro-Trenching für Glasfaser
  1. FTTH Deutsche Glasfaser will schnell eine Million anschließen
  2. M-net Glasfaser für 70 Prozent der Münchner Haushalte
  3. FTTH Telekom wird 1 GBit/s für Selbstbauer überall anbieten

  1. Re: Hoffentlich bald mit Windows 10

    AIM-9 Sidewinder | 23:04

  2. Re: Krieg ist eine Angelegenheit der Dummen

    User_x | 23:02

  3. Re: Was ist mit Leuten die kein Handy haben?

    plutoniumsulfat | 23:01

  4. Re: Fragwürdige Herangehensweise bei Email Filterung

    bombinho | 22:47

  5. Re: Ministerin von der Leyen womit wurde die...

    User_x | 22:45


  1. 14:52

  2. 11:42

  3. 10:08

  4. 09:16

  5. 13:13

  6. 12:26

  7. 11:03

  8. 09:01


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel