• IT-Karriere:
  • Services:

Schwere Sicherheitslücke in X.org entdeckt

Automatische Code-Analyse deckte Fehler auf

Bei einer automatischen Fehleranalyse des X Window Systems wurde die größte Sicherheitslücke in X.org seit sechs Jahren entdeckt. Lokale Benutzer können unter Ausnutzung dieses Fehlers Programmcode mit Root-Rechten ausführen. Die Überprüfung des Quellcodes mit der Analyse-Software Coverity fand im Auftrag des US-Heimatschutzministeriums statt, die Entwickler haben die Lücke bereits geschlossen.

Artikel veröffentlicht am , Julius Stiebert

Die Software Coverity entstand auf Basis des Stanford Checkers und untersucht C- sowie C++-Quelltexte automatisch auf Fehler. Im Auftrag des US-Heimatschutzministeriums überprüfte die gleichnamige Firma verschiedene Software und stieß dabei auf ein Sicherheitsleck in X.org 6.9 und 7.0. Nach Angaben von Coverity handelt es sich um das größte Sicherheitsloch im X Window System, das in den letzten sechs Jahren gefunden wurde.

Stellenmarkt
  1. Rödl Global Digital Services GmbH, Nürnberg
  2. AZTEKA Consulting GmbH, Freiburg, Mannheim

Ursache des Fehlers war eine fehlende Klammer in einem Quelltextabschnitt, der die Benutzer-ID überprüft. Unter Ausnutzung dieses Problems können lokale Nutzer beliebigen Programmcode mit Root-Rechten ausführen, somit auch Systemdateien überschreiben und Denial-of-Service-Angriffe starten.

Nach Angaben von Coverity konnten die X.org-Entwickler nach Einsicht in die Analyse die Lücke innerhalb einer Woche schließen. Aktuelle Versionen sollen so nicht mehr betroffen sein. Laut Daniel Stone, Release Manager bei der X.org Foundation, komme es nur alle drei bis sechs Jahre vor, dass so ein Fehler gefunden werde. Bei der manuellen Überprüfung des Codes könnten jedoch gerade solche Fehler leicht übersehen werden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. 20,49€
  2. 26,99€

Dr. Cloogshice 08. Jun 2006

Definiere Effektivität. Wenn ich C++ im Schlaf beherrsche und auf meine eignen Libs...

kW 03. Mai 2006

von http://xorg.freedesktop.org/releases/X11R6.9.0/patches/x11r6.9.0-geteuid.diff...

Janko Weber 03. Mai 2006

...ob es irgendwann eine mir logisch erscheinende Erklärung geben wird, wie es zu diesem...

Bärchen 03. Mai 2006

Was heißt einfach? Einfach zu erlangen ist relativ. Viele fühlen sich mit der grafischen...


Folgen Sie uns
       


Viewsonic M2 - Test

Der kleine LED-Projektor eignet sich für Präsentationen und als flexibles Kino für unterwegs.

Viewsonic M2 - Test Video aufrufen
CPU und GPU vereint: Wie die Fusion zu AMDs Zukunft wurde
CPU und GPU vereint
Wie die Fusion zu AMDs Zukunft wurde

Mit Lauchgemüse und Katzen-Kernen zu Playstation und Xbox: Wir blicken auf ein Jahrzehnt an Accelerated Processing Units (APUs) zurück.
Ein Bericht von Marc Sauter


    Westküste 100: Wie die Energiewende an der Küste aussehen soll
    Westküste 100
    Wie die Energiewende an der Küste aussehen soll

    An der Nordseeküste stehen die Windräder auch bei einer frischen Brise oft still. Besser ist, mit dem Strom Wasserstoff zu erzeugen. Das Reallabor Westküste 100 testet das.
    Ein Bericht von Werner Pluta

    1. 450 MHz Energiewirtschaft gewinnt Streit um Funkfrequenzen
    2. Energiewende Statkraft baut Schwungradspeicher in Schottland

    Neue Fire-TV-Oberfläche im Test: Noch mehr Nachteile für Prime-Video-Kunden
    Neue Fire-TV-Oberfläche im Test
    Noch mehr Nachteile für Prime-Video-Kunden

    Eigentlich wollte Amazon die Oberfläche von Fire-TV-Geräten verbessern - das ist gründlich misslungen.
    Ein Test von Ingo Pakalski

    1. Media Markt und Saturn Erster Smart-TV der Ok-Eigenmarke mit Fire-TV-Oberfläche
    2. Amazon Fire TV Cube wechselt TV-Programm auf Zuruf

      •  /