Schwere Sicherheitslücke in X.org entdeckt

Automatische Code-Analyse deckte Fehler auf

Bei einer automatischen Fehleranalyse des X Window Systems wurde die größte Sicherheitslücke in X.org seit sechs Jahren entdeckt. Lokale Benutzer können unter Ausnutzung dieses Fehlers Programmcode mit Root-Rechten ausführen. Die Überprüfung des Quellcodes mit der Analyse-Software Coverity fand im Auftrag des US-Heimatschutzministeriums statt, die Entwickler haben die Lücke bereits geschlossen.

Artikel veröffentlicht am , Julius Stiebert

Die Software Coverity entstand auf Basis des Stanford Checkers und untersucht C- sowie C++-Quelltexte automatisch auf Fehler. Im Auftrag des US-Heimatschutzministeriums überprüfte die gleichnamige Firma verschiedene Software und stieß dabei auf ein Sicherheitsleck in X.org 6.9 und 7.0. Nach Angaben von Coverity handelt es sich um das größte Sicherheitsloch im X Window System, das in den letzten sechs Jahren gefunden wurde.

Stellenmarkt
  1. Release Manager (m/w/d) Softwarekonfiguration
    Scheidt & Bachmann Fuel Retail Solutions GmbH, Mönchengladbach
  2. Senior Systemadministrator (m/w/d)
    ENERTRAG Aktiengesellschaft, Dauerthal
Detailsuche

Ursache des Fehlers war eine fehlende Klammer in einem Quelltextabschnitt, der die Benutzer-ID überprüft. Unter Ausnutzung dieses Problems können lokale Nutzer beliebigen Programmcode mit Root-Rechten ausführen, somit auch Systemdateien überschreiben und Denial-of-Service-Angriffe starten.

Nach Angaben von Coverity konnten die X.org-Entwickler nach Einsicht in die Analyse die Lücke innerhalb einer Woche schließen. Aktuelle Versionen sollen so nicht mehr betroffen sein. Laut Daniel Stone, Release Manager bei der X.org Foundation, komme es nur alle drei bis sechs Jahre vor, dass so ein Fehler gefunden werde. Bei der manuellen Überprüfung des Codes könnten jedoch gerade solche Fehler leicht übersehen werden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Dr. Cloogshice 08. Jun 2006

Definiere Effektivität. Wenn ich C++ im Schlaf beherrsche und auf meine eignen Libs...

kW 03. Mai 2006

von http://xorg.freedesktop.org/releases/X11R6.9.0/patches/x11r6.9.0-geteuid.diff...

Janko Weber 03. Mai 2006

...ob es irgendwann eine mir logisch erscheinende Erklärung geben wird, wie es zu diesem...

Bärchen 03. Mai 2006

Was heißt einfach? Einfach zu erlangen ist relativ. Viele fühlen sich mit der grafischen...



Aktuell auf der Startseite von Golem.de
Tesla Model Y im Test
Die furzende Familienkutsche

Teslas Model Y ist der Wunschtraum vieler Model-3-Besitzer. Reichweite und Raumangebot überzeugen im Test - doch der Autopilot ist nicht konkurrenzfähig.
Ein Test von Friedhelm Greis

Tesla Model Y im Test: Die furzende Familienkutsche
Artikel
  1. Games Workshop: Warhammer-40K-Modell für 30.000 Euro auf Ebay versteigert
    Games Workshop
    Warhammer-40K-Modell für 30.000 Euro auf Ebay versteigert

    Der Youtuber Squidmar hat wochenlange Arbeit in den Warhammer-40K-Thunderhawk gesteckt. Das hat sich gelohnt: Er erzielt einen Rekordpreis.

  2. MX Keys Mini: Logitech bringt kompakte Flachtastatur für PCs und Macs
    MX Keys Mini
    Logitech bringt kompakte Flachtastatur für PCs und Macs

    Die Logitech MX Keys Mini verzichtet auf den Nummernblock. Dafür ist die flache Tastatur umso kompakter. Es gibt sie für PC und Mac.

  3. Thinkpad E14 Gen3 im Test: Ryzen-Laptop mit grandiosem Preis-Leistungs-Verhältnis
    Thinkpad E14 Gen3 im Test
    Ryzen-Laptop mit grandiosem Preis-Leistungs-Verhältnis

    Schon das Thinkpad E14 Gen2 war exzellent, bei der Gen3 aber hat Lenovo die zwei Schwachstellen - Akku und Display - behoben. Bravo!
    Ein Test von Marc Sauter

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Saturn-Aktion: Win 10-Laptop oder PC kaufen, kostenloses Upgrade auf Win 11 erhalten • Bosch Professional & PC-Spiele von EA günstiger • Nur noch heute PS5-Gewinnspiel • Alternate (u. a. Asus TUF Gaming-Monitor 23,8" FHD 165Hz 179,90€) • 7 Tage Samsung-Angebote [Werbung]
    •  /