Schwere Sicherheitslücke in X.org entdeckt

Automatische Code-Analyse deckte Fehler auf. Bei einer automatischen Fehleranalyse des X Window Systems wurde die größte Sicherheitslücke in X.org seit sechs Jahren entdeckt. Lokale Benutzer können unter Ausnutzung dieses Fehlers Programmcode mit Root-Rechten ausführen. Die Überprüfung des Quellcodes mit der Analyse-Software Coverity fand im Auftrag des US-Heimatschutzministeriums statt, die Entwickler haben die Lücke bereits geschlossen.

3. Mai 2006 um 09:20 Uhr / Julius Stiebert

43 Kommentare Auf Google folgen (öffnet im neuen Fenster)

Die Software Coverity(öffnet im neuen Fenster) entstand auf Basis des Stanford Checkers(öffnet im neuen Fenster) und untersucht C- sowie C++-Quelltexte automatisch auf Fehler. Im Auftrag des US-Heimatschutzministeriums überprüfte die gleichnamige Firma verschiedene Software und stieß dabei auf ein Sicherheitsleck in X.org 6.9 und 7.0. Nach Angaben von Coverity handelt es sich um das größte Sicherheitsloch im X Window System, das in den letzten sechs Jahren gefunden wurde.

Ursache des Fehlers war eine fehlende Klammer in einem Quelltextabschnitt, der die Benutzer-ID überprüft. Unter Ausnutzung dieses Problems können lokale Nutzer beliebigen Programmcode mit Root-Rechten ausführen, somit auch Systemdateien überschreiben und Denial-of-Service-Angriffe starten.

Neue Angebote bei Golem Jobs (öffnet im neuen Fenster)

IT Infrastruktur Spezialist (m/w/d) mit Projektverantwortung GHM Gesellschaft für Handwerksmessen mbH, München,Homeoffice (öffnet im neuen Fenster)

Data Quality and BI Governance Manager (w/m/d) Deutsche Glasfaser Unternehmensgruppe, Düsseldorf (öffnet im neuen Fenster)

Senior Engineering Projektleiter für Airborne für Electronic Warfare Systeme (w/m/d) Hensoldt, Ulm (öffnet im neuen Fenster)

Servicekoordinator / Prozessmanager (m/w/d) DEUTSCHER GOLF VERBAND e.V., Wiesbaden (öffnet im neuen Fenster)

Manager Innovation und Prozesse Schwerpunkt KI (m/w/d) über Dr. Maier + Partner Executive Search GmbH, Stuttgart (öffnet im neuen Fenster)

SAP Key User mit Schwerpunkt Materialstamm/Klassifizierung (w/m/d) Hensoldt, Ulm,Taufkirchen,Immenstaad,Aalen,Oberkochen (öffnet im neuen Fenster)

CRM Solution Consultant BSI Customer Suite (m/w/d) WWK Lebensversicherung a. G., München (öffnet im neuen Fenster)

SAP Inhouse Consultant (m/w/i) Schwerpunkt SAP IS-U und S/4 Utilities Stadtwerke Heidelberg GmbH, Heidelberg (öffnet im neuen Fenster)

Nach Angaben von Coverity konnten die X.org-Entwickler nach Einsicht in die Analyse die Lücke innerhalb einer Woche schließen. Aktuelle Versionen sollen so nicht mehr betroffen sein. Laut Daniel Stone, Release Manager bei der X.org Foundation, komme es nur alle drei bis sechs Jahre vor, dass so ein Fehler gefunden werde. Bei der manuellen Überprüfung des Codes könnten jedoch gerade solche Fehler leicht übersehen werden.

Zur Startseite 43 Kommentare

Anzeige Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon
Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.

X.org warnt vor kritischer Sicherheitslücke

Auch GTK+ für Angriffe mit präparierten Grafik-Dateien anfällig. Die X.Org-Foundation warnt vor einer kritischen Sicherheitslücke in der Bibliothek libXpm, die Teil ihres X Window Systems ist und in vielen Applikationen zum Einsatz kommt. Mit speziell präparierten XPM-Grafiken lassen sich entsprechende Applikationen zum Absturz bringen und möglicherweise auch fremder Code ausführen.

AIGLX - Auch Red Hat will den Linux-Desktop aufmöbeln

Fedora Core 5 Test 3 veröffentlicht. Mit AIGLX hat Red Hat jetzt eine Alternative zu Novells XGL/Compiz vorgestellt. Der leicht erweiterte X Server AIGLX unterstützt ebenfalls per OpenGL beschleunigte Grafikfunktionen und kann so die Möglichkeiten moderner Grafikkarten ausnutzen.

Xming: X-Server für Windows in neuer Version

X-Window-System mit grafischem Installer. Xming, ein freier X-Server für Windows, steht nun in einer neuen Version bereit, die ein verbessertes Tastatur-Mapping bietet. Xming basiert zwar auf dem Quelltext von Cygwin/X, ist aber unabhängig von der Unix-Umgebung für Windows.

Relevante Themen