Abo
  • Services:
Anzeige
Zahlreiche Bibliotheken des Displayservers X.org sind von Schwachstellen betroffen.
Zahlreiche Bibliotheken des Displayservers X.org sind von Schwachstellen betroffen. (Bild: X.org)

Displayserver: Fast alle X.org-Bibliotheken mit Sicherheitslücken

Zahlreiche Bibliotheken des Displayservers X.org sind von Schwachstellen betroffen.
Zahlreiche Bibliotheken des Displayservers X.org sind von Schwachstellen betroffen. (Bild: X.org)

28 teils gefährliche Sicherheitslücken in den zahlreichen Bibliotheken des Displayservers X.org haben die Entwickler geschlossen. Sie betreffen alle bisherigen Versionen des X Window System.

Solange X Clients und der Server vom selben Benutzer gestartet und verwendet werden, stellen die jetzt gefundenen Sicherheitslücken kein Problem dar, wie die Entwickler vom X.org-Projekt schreiben. Wenn jedoch ein privilegierter Client eine Verbindung zu einem unprivilegierten Server aufbaut, etwa zu einem virtuellen Xserver wie Xvfb oder Xephyr, dann können sich Benutzer unter Umständen Root-Rechte verschaffen.

Anzeige

Da es sich um Fehler in der Handhabung der Protokolle handelt, sind nahezu alle Client-Bibliotheken betroffen. Ermittelt hat sie der Sicherheitsexperte Ilja van Sprundel von der Firma Ioactive. Er wandte sich an die X.org-Entwickler und gemeinsam erarbeiteten sie Lösungen, die jetzt im Code umgesetzt wurden.

Bei den gefundenen Fehlern handelt es sich unter anderem um Integer Overflows, die bei der Berechnung des benötigten Speichers auftreten können. Davon betroffen sind zahlreiche Funktionen in vielen Bibliotheken, darunter LibX11 bis Version 1.5.99.901, LibXinerama 1.1.2 (CVE-2013-1985), LibXp 1.0.1 (CVE-2013-2062), LibXrandr 1.4.0 (CVE-2013-1986), LibXrender 0.9.7 (CVE-2013-1987), LibXRes 1.0.6 (CVE-2013-1988), LibGLX in Mesa 9.1.1 (CVE-2013-1993) sowie libchromeXvMC und libchromeXvMCPro in Openchrome 0.3.2 (CVE-2013-1994).

In den beiden Bibliotheken LibXi 1.7.1 (CVE-2013-1995) und LibFS 1.0.4 (CVE-2013-1996) werden die Vorzeichen während der Berechnung des benötigten Speichers nicht hinreichend überprüft. Pufferüberläufe wegen mangelnder Verifizierung der Länge oder Offset-Werte können in den Bibliotheken LibX11 1.5.99.901 (CVE-2013-1997) oder LibXv 1.0.7 (CVE-2013-1998) auftreten. LibX11 1.5.99.901 hat auch weitere Schwachstellen, darunter Probleme beim Parsen von benutzerspezifischen Dateien.

Patches sind inzwischen im Github-Repository erhältlich.


eye home zur Startseite
lisgoem8 04. Sep 2013

Dürften aber besonders unter Windows deutlich mehr sein. Ausserdem wird kein...

LustigerWanderer 31. Aug 2013

Dieses Märchen vom sicherereren Linux stammt wohl aus einer Zeit, wo Linux noch wenig...



Anzeige

Stellenmarkt
  1. MBtech Group GmbH & Co. KGaA, Sindelfingen
  2. ZF Friedrichshafen AG, Friedrichshafen
  3. Dürr IT Service GmbH, Bietigheim-Bissingen
  4. expert AG, Langenhagen


Anzeige
Top-Angebote
  1. 44,99€
  2. (u. a. Ronaldo Blu-ray 9,97€, Mia san Champions Blu-ray 7,97€)
  3. beim Kauf eines 6- oder 8-Core FX Prozessors

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Mehr dazu im aktuellen Whitepaper von IBM
  2. Sicherheitskonzeption für das App-getriebene Geschäft
  3. Potenzialanalyse für eine effiziente DMS- und ECM-Strategie


  1. IT-Support

    Nasa verzichtet auf tausende Updates durch HP Enterprise

  2. BGH-Antrag

    Opposition will NSA-Ausschuss zur Ladung Snowdens zwingen

  3. Kollaborationsserver

    Nextcloud 10 verbessert Server-Administration

  4. Exo-Planet

    Der Planet von Proxima Centauri

  5. Microsoft

    Windows 10 Enterprise kommt als Abo

  6. Umwelthilfe

    Handel ignoriert Rücknahmepflicht von Elektrogeräten

  7. 25 Jahre Linux

    Besichtigungstour zu den skurrilsten Linux-Distributionen

  8. Softrobotik

    Oktopus-Roboter wird mit Gas angetrieben

  9. Anniversary Update

    Kindle-Reader lässt Windows 10 abstürzen

  10. Sichtschutz

    HP Sure View gegen seitliche Einblicke auf Notebooks



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Mobilfunk: Eine Woche in Deutschland im Funkloch
Mobilfunk
Eine Woche in Deutschland im Funkloch
  1. Netzwerk Mehrere regionale Mobilfunkausfälle bei Vodafone
  2. Hutchison 3 Google-Mobilfunk Project Fi soll zwanzigmal schneller werden
  3. RWTH Ericsson startet 5G-Machbarkeitsnetz in Aachen

No Man's Sky im Test: Interstellare Emotionen durch schwarze Löcher
No Man's Sky im Test
Interstellare Emotionen durch schwarze Löcher
  1. No Man's Sky für PC Läuft nicht, stottert, nervt
  2. No Man's Sky Onlinedienste wegen Überlastung offline
  3. Hello Games No Man's Sky bekommt Raumstationsbau

Analog in Rio: Die Technik hinter den Olympia-Kulissen
Analog in Rio
Die Technik hinter den Olympia-Kulissen
  1. Technik bei Rio 2016 Per Stromschlag zu Gold
  2. Rio 2016 Twitter soll Nutzerkonto wegen IOC-Beschwerde gelöscht haben
  3. Rio 2016 Keine Gifs und Vines von den Olympischen Spielen

  1. Re: WC`ehn müsste Linux mittelfristg (ab 2020)

    HierIch | 15:16

  2. Re: Microsofts QS endete mit der Frist fürs...

    pythoneer | 15:16

  3. Re: IMHO: Ein Ausschuss der Steuergelder verbrennt...

    gutenmorgen123 | 15:12

  4. Re: Reichweite Autobahn

    ChMu | 15:10

  5. Planeten sind wohl weit gewöhnlicher

    Keridalspidialose | 15:09


  1. 15:08

  2. 14:26

  3. 13:31

  4. 13:22

  5. 13:00

  6. 12:45

  7. 12:02

  8. 11:57


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel