IT-Karriere:
Services:

Golem pur

Golem.de ohne Werbung nutzen
Mehrseitige Artikel auf einer Seite lesen
RSS-Volltext-Feed für Artikel
Ab 3,00 € pro Monat

Schwere Sicherheitslücke in X.org entdeckt

Automatische Code-Analyse deckte Fehler auf

Bei einer automatischen Fehleranalyse des X Window Systems wurde die größte Sicherheitslücke in X.org seit sechs Jahren entdeckt. Lokale Benutzer können unter Ausnutzung dieses Fehlers Programmcode mit Root-Rechten ausführen. Die Überprüfung des Quellcodes mit der Analyse-Software Coverity fand im Auftrag des US-Heimatschutzministeriums statt, die Entwickler haben die Lücke bereits geschlossen.

Artikel veröffentlicht am 3. Mai 2006, 9:20 Uhr, Julius Stiebert

Die Software Coverity entstand auf Basis des Stanford Checkers und untersucht C- sowie C++-Quelltexte automatisch auf Fehler. Im Auftrag des US-Heimatschutzministeriums überprüfte die gleichnamige Firma verschiedene Software und stieß dabei auf ein Sicherheitsleck in X.org 6.9 und 7.0. Nach Angaben von Coverity handelt es sich um das größte Sicherheitsloch im X Window System, das in den letzten sechs Jahren gefunden wurde.

Stellenmarkt

Rödl Global Digital Services GmbH, Nürnberg
AZTEKA Consulting GmbH, Freiburg, Mannheim

Ursache des Fehlers war eine fehlende Klammer in einem Quelltextabschnitt, der die Benutzer-ID überprüft. Unter Ausnutzung dieses Problems können lokale Nutzer beliebigen Programmcode mit Root-Rechten ausführen, somit auch Systemdateien überschreiben und Denial-of-Service-Angriffe starten.

Nach Angaben von Coverity konnten die X.org-Entwickler nach Einsicht in die Analyse die Lücke innerhalb einer Woche schließen. Aktuelle Versionen sollen so nicht mehr betroffen sein. Laut Daniel Stone, Release Manager bei der X.org Foundation, komme es nur alle drei bis sechs Jahre vor, dass so ein Fehler gefunden werde. Bei der manuellen Überprüfung des Codes könnten jedoch gerade solche Fehler leicht übersehen werden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de