Zahlreiche Bibliotheken des Displayservers X.org sind von Schwachstellen betroffen.
Zahlreiche Bibliotheken des Displayservers X.org sind von Schwachstellen betroffen. (Bild: X.org)

Displayserver Fast alle X.org-Bibliotheken mit Sicherheitslücken

28 teils gefährliche Sicherheitslücken in den zahlreichen Bibliotheken des Displayservers X.org haben die Entwickler geschlossen. Sie betreffen alle bisherigen Versionen des X Window System.

Anzeige

Solange X Clients und der Server vom selben Benutzer gestartet und verwendet werden, stellen die jetzt gefundenen Sicherheitslücken kein Problem dar, wie die Entwickler vom X.org-Projekt schreiben. Wenn jedoch ein privilegierter Client eine Verbindung zu einem unprivilegierten Server aufbaut, etwa zu einem virtuellen Xserver wie Xvfb oder Xephyr, dann können sich Benutzer unter Umständen Root-Rechte verschaffen.

Da es sich um Fehler in der Handhabung der Protokolle handelt, sind nahezu alle Client-Bibliotheken betroffen. Ermittelt hat sie der Sicherheitsexperte Ilja van Sprundel von der Firma Ioactive. Er wandte sich an die X.org-Entwickler und gemeinsam erarbeiteten sie Lösungen, die jetzt im Code umgesetzt wurden.

Bei den gefundenen Fehlern handelt es sich unter anderem um Integer Overflows, die bei der Berechnung des benötigten Speichers auftreten können. Davon betroffen sind zahlreiche Funktionen in vielen Bibliotheken, darunter LibX11 bis Version 1.5.99.901, LibXinerama 1.1.2 (CVE-2013-1985), LibXp 1.0.1 (CVE-2013-2062), LibXrandr 1.4.0 (CVE-2013-1986), LibXrender 0.9.7 (CVE-2013-1987), LibXRes 1.0.6 (CVE-2013-1988), LibGLX in Mesa 9.1.1 (CVE-2013-1993) sowie libchromeXvMC und libchromeXvMCPro in Openchrome 0.3.2 (CVE-2013-1994).

In den beiden Bibliotheken LibXi 1.7.1 (CVE-2013-1995) und LibFS 1.0.4 (CVE-2013-1996) werden die Vorzeichen während der Berechnung des benötigten Speichers nicht hinreichend überprüft. Pufferüberläufe wegen mangelnder Verifizierung der Länge oder Offset-Werte können in den Bibliotheken LibX11 1.5.99.901 (CVE-2013-1997) oder LibXv 1.0.7 (CVE-2013-1998) auftreten. LibX11 1.5.99.901 hat auch weitere Schwachstellen, darunter Probleme beim Parsen von benutzerspezifischen Dateien.

Patches sind inzwischen im Github-Repository erhältlich.


lisgoem8 04. Sep 2013

Dürften aber besonders unter Windows deutlich mehr sein. Ausserdem wird kein...

LustigerWanderer 31. Aug 2013

Dieses Märchen vom sicherereren Linux stammt wohl aus einer Zeit, wo Linux noch wenig...

Kommentieren



Anzeige

  1. Informatiker / Application-Manager EAI/BI (m/w)
    TransnetBW GmbH, Wendlingen bei Stuttgart
  2. Online Prozessmanager (m/w)
    Home Shopping Europe GmbH, Ismaning Raum München
  3. Programmierer (m/w)
    Krebsregister Rheinland-Pfalz gGmbH, Mainz
  4. Softwareentwickler (m/w) Web Frontend
    PTV Planung Transport Verkehr AG, Karlsruhe

 

Detailsuche


Blu-ray-Angebote
  1. Good Kill [Blu-ray]
    9,99€
  2. NUR NOCH HEUTE: Jetzt für 30 EUR Serien kaufen und 5 EUR sparen
  3. Blu-rays unter 10 EUR
    (u. a. Hänsel und Gretel Hexenjäger 7,99€, Der große Gatsby 8,97€, Dune 7,97€, Die Passion...

 

Weitere Angebote


Folgen Sie uns
       


  1. Multimedia-Bibliothek

    Der Leiter des FFmpeg-Projekts tritt zurück

  2. Demo wegen #Landesverrat

    "Come and get us all, motherfuckers"

  3. Tor-Netzwerk

    Öffentliche Bibliotheken sollen Exit-Relays werden

  4. Bitcoin

    Mt.-Gox-Gründer Mark Karpelès verhaftet

  5. Windows 10

    Microsoft gibt Enterprise-Version frei

  6. Schwachstellen

    Fernzugriff öffnet Autotüren

  7. Die Woche im Video

    Windows 10 bis zum Abwinken

  8. Oneplus 2 im Hands On

    Das Flagship-Killerchen

  9. #Landesverrat

    Range stellt Ermittlungen gegen Netzpolitik.org vorerst ein

  10. Biomimetik

    Roboter kann über das Wasser laufen



Haben wir etwas übersehen?

E-Mail an news@golem.de



Simulus QR-X350.PRO im Test: Der Quadcopter, der vom Himmel fiel
Simulus QR-X350.PRO im Test
Der Quadcopter, der vom Himmel fiel
  1. Flugverkehrskontrolle Amazon will Drohnenverkehr regeln
  2. Paketzustellung Google will Flugverkehrskontrolle für Drohnen entwickeln
  3. Luftzwischenfall Beinahekollision zwischen Lufthansa-Flugzeug und Drohne

OCZ Trion 100 im Test: Macht sie günstiger!
OCZ Trion 100 im Test
Macht sie günstiger!
  1. PM863 Samsung packt knapp 4 TByte in ein flaches Gehäuse
  2. 850 Evo und Pro Samsung veröffentlicht erste Consumer-SSDs mit 2 TByte
  3. TLC-Flash Samsung plant SSDs mit 2 und 4 TByte

Broadwell-C im Test: Intels Spätzünder auf Speed
Broadwell-C im Test
Intels Spätzünder auf Speed
  1. Core i7-5775C im Kurztest Dank Iris Pro Graphics und EDRAM überraschend flott
  2. Prozessor Intels Broadwell bietet die schnellste integrierte Grafik
  3. Prozessor Intels Broadwell Unlocked wird teuer

  1. Re: wieder fester akku

    Moe479 | 16:14

  2. Re: Zeit um auf Linux umzusteigen

    Spiritogre | 16:14

  3. Re: Multidesktop quark?

    zu Gast | 16:13

  4. Aufklärungsbedarf

    TC | 16:11

  5. armer Mark

    TC | 16:05


  1. 11:30

  2. 10:46

  3. 12:40

  4. 12:00

  5. 11:22

  6. 10:34

  7. 09:37

  8. 18:46


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel