Displayserver: Fast alle X.org-Bibliotheken mit Sicherheitslücken
Zahlreiche Bibliotheken des Displayservers X.org sind von Schwachstellen betroffen. (Bild: X.org)

Displayserver Fast alle X.org-Bibliotheken mit Sicherheitslücken

28 teils gefährliche Sicherheitslücken in den zahlreichen Bibliotheken des Displayservers X.org haben die Entwickler geschlossen. Sie betreffen alle bisherigen Versionen des X Window System.

Anzeige

Solange X Clients und der Server vom selben Benutzer gestartet und verwendet werden, stellen die jetzt gefundenen Sicherheitslücken kein Problem dar, wie die Entwickler vom X.org-Projekt schreiben. Wenn jedoch ein privilegierter Client eine Verbindung zu einem unprivilegierten Server aufbaut, etwa zu einem virtuellen Xserver wie Xvfb oder Xephyr, dann können sich Benutzer unter Umständen Root-Rechte verschaffen.

Da es sich um Fehler in der Handhabung der Protokolle handelt, sind nahezu alle Client-Bibliotheken betroffen. Ermittelt hat sie der Sicherheitsexperte Ilja van Sprundel von der Firma Ioactive. Er wandte sich an die X.org-Entwickler und gemeinsam erarbeiteten sie Lösungen, die jetzt im Code umgesetzt wurden.

Bei den gefundenen Fehlern handelt es sich unter anderem um Integer Overflows, die bei der Berechnung des benötigten Speichers auftreten können. Davon betroffen sind zahlreiche Funktionen in vielen Bibliotheken, darunter LibX11 bis Version 1.5.99.901, LibXinerama 1.1.2 (CVE-2013-1985), LibXp 1.0.1 (CVE-2013-2062), LibXrandr 1.4.0 (CVE-2013-1986), LibXrender 0.9.7 (CVE-2013-1987), LibXRes 1.0.6 (CVE-2013-1988), LibGLX in Mesa 9.1.1 (CVE-2013-1993) sowie libchromeXvMC und libchromeXvMCPro in Openchrome 0.3.2 (CVE-2013-1994).

In den beiden Bibliotheken LibXi 1.7.1 (CVE-2013-1995) und LibFS 1.0.4 (CVE-2013-1996) werden die Vorzeichen während der Berechnung des benötigten Speichers nicht hinreichend überprüft. Pufferüberläufe wegen mangelnder Verifizierung der Länge oder Offset-Werte können in den Bibliotheken LibX11 1.5.99.901 (CVE-2013-1997) oder LibXv 1.0.7 (CVE-2013-1998) auftreten. LibX11 1.5.99.901 hat auch weitere Schwachstellen, darunter Probleme beim Parsen von benutzerspezifischen Dateien.

Patches sind inzwischen im Github-Repository erhältlich.


lisgoem8 04. Sep 2013

Dürften aber besonders unter Windows deutlich mehr sein. Ausserdem wird kein...

LustigerWanderer 31. Aug 2013

Dieses Märchen vom sicherereren Linux stammt wohl aus einer Zeit, wo Linux noch wenig...

Kommentieren



Anzeige

  1. User Experience Designer (m/w)
    Siemens AG, Bonn
  2. IT-Business Analyst (m/w)
    LS travel retail Deutschland GmbH, Wiesbaden
  3. Support Specialist IT (m/w)
    Scheidt & Bachmann GmbH, Mönchengladbach
  4. Project Management Coordinator (m/w)
    Teradata GmbH, München, Frankfurt oder Düsseldorf

 

Detailsuche


Folgen Sie uns
       


  1. Echtzeit-Überwachung

    BND prüft angeblich Einsatz von SAPs Hana-Datenbank

  2. Xiaomi

    Design des Mi4 von Apple "inspiriert"

  3. Terrorabwehr

    Kriterien für Aufnahme in US-Terrordatenbank enthüllt

  4. Open Name System

    DNS mit Namecoin-Blockchain

  5. In eigener Sache

    Computec Media veröffentlicht Spielevideo-App Games TV 24

  6. Google-Suchergebnisse

    EU-Datenschützer verlangen weltweite Löschung

  7. Dating

    Parship darf Widerruf nicht mit hoher Rechnung verhindern

  8. O2

    Neue Prepaid-Tarife erlauben Datenmitnahme in den Folgemonat

  9. Freie .Net-Implementierung

    Mono soll schneller werden

  10. Oneplus One

    Eigenes ROM mit Stock Android 4.4.4 vorgestellt



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Smartphone-Hersteller Xiaomi: Wie Apple, nur anders
Smartphone-Hersteller Xiaomi
Wie Apple, nur anders
  1. Flir One Wärmebildkamera fürs iPhone lieferbar
  2. Per Smartphone Paypal ermöglicht Bezahlen in Restaurants landesweit
  3. Datenübertragung Smartphone-Kompass spielt Musik durch Magnetkraft

Nvidia Shield Tablet ausprobiert: Schnelles Spiele-Tablet für Android mit WLAN-Controller
Nvidia Shield Tablet ausprobiert
Schnelles Spiele-Tablet für Android mit WLAN-Controller
  1. Tegra K1 Start von Nvidias Shield Tablet zeichnet sich ab
  2. GM200 und GM204 Nvidias große Maxwell-GPUs zeigen sich beim Zoll
  3. Dual-GPU-Grafikkarte EVGA macht Titan-Z schmaler und leiser als Nvidia

PC-Spiele mit 4K, 6K, 8K, 15K: "Spielen mit Downsampling schlägt Full-HD immer"
PC-Spiele mit 4K, 6K, 8K, 15K
"Spielen mit Downsampling schlägt Full-HD immer"
  1. Transformers Ära des Untergangs - gefilmt mit Sensoren im Imax-Format
  2. Intel-Partnerschaft mit Samsung 4K-Monitore sollen unter 400 US-Dollar gedrückt werden
  3. Asus ROG Kleine Gaming-PCs im Konsolendesign mit Desktophardware

    •  / 
    Zum Artikel