Schwere Sicherheitslücke in X.org entdeckt
Automatische Code-Analyse deckte Fehler auf
Bei einer automatischen Fehleranalyse des X Window Systems wurde die größte Sicherheitslücke in X.org seit sechs Jahren entdeckt. Lokale Benutzer können unter Ausnutzung dieses Fehlers Programmcode mit Root-Rechten ausführen. Die Überprüfung des Quellcodes mit der Analyse-Software Coverity fand im Auftrag des US-Heimatschutzministeriums statt, die Entwickler haben die Lücke bereits geschlossen.
Die Software Coverity entstand auf Basis des Stanford Checkers und untersucht C- sowie C++-Quelltexte automatisch auf Fehler. Im Auftrag des US-Heimatschutzministeriums überprüfte die gleichnamige Firma verschiedene Software und stieß dabei auf ein Sicherheitsleck in X.org 6.9 und 7.0. Nach Angaben von Coverity handelt es sich um das größte Sicherheitsloch im X Window System, das in den letzten sechs Jahren gefunden wurde.
Ursache des Fehlers war eine fehlende Klammer in einem Quelltextabschnitt, der die Benutzer-ID überprüft. Unter Ausnutzung dieses Problems können lokale Nutzer beliebigen Programmcode mit Root-Rechten ausführen, somit auch Systemdateien überschreiben und Denial-of-Service-Angriffe starten.
Nach Angaben von Coverity konnten die X.org-Entwickler nach Einsicht in die Analyse die Lücke innerhalb einer Woche schließen. Aktuelle Versionen sollen so nicht mehr betroffen sein. Laut Daniel Stone, Release Manager bei der X.org Foundation, komme es nur alle drei bis sechs Jahre vor, dass so ein Fehler gefunden werde. Bei der manuellen Überprüfung des Codes könnten jedoch gerade solche Fehler leicht übersehen werden.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
- ohne Werbung
- mit ausgeschaltetem Javascript
- mit RSS-Volltext-Feed
Definiere Effektivität. Wenn ich C++ im Schlaf beherrsche und auf meine eignen Libs...
von http://xorg.freedesktop.org/releases/X11R6.9.0/patches/x11r6.9.0-geteuid.diff...
...ob es irgendwann eine mir logisch erscheinende Erklärung geben wird, wie es zu diesem...
Was heißt einfach? Einfach zu erlangen ist relativ. Viele fühlen sich mit der grafischen...
No Text