Sicherheitslücken in X-Server von X.org

Mehrere Funktionen anfällig für Integer Overflows. In dem X-Server von X.org stecken mehrere Sicherheitslücken, die zu Integer Overflows führen können. Ausgenutzt werden können sie zwar nur von einem bereits authentifizierten Client, betroffen sind allerdings alle Versionen seit X.org 6.8.2. Patches stehen bereits zum Download bereit.

9. Januar 2007 um 16:40 Uhr / Julius Stiebert

2 Kommentare News folgen (öffnet im neuen Fenster)

Laut dem Hinweis(öffnet im neuen Fenster) der Entwickler liegen die Sicherheistlücken im Modul DBE sowie in der Render-Extension. Die Fehler können ausgenutzt werden, um Speicher zu überschreiben, auch in anderen Teilen des X-Server-Speichers. Fehlerhafte Parameter führen so zu einem Integer Overflow, in dessen Folge die Daten im Speicher beschädigt werden, was eben auch andere Teile des Speichers betreffen kann als die den Funktionen zugewiesenen.

Alle X.org-Versionen, die DBE und die X-Render-Erweiterung nutzen, sind betroffen, allerdings lässt sich die Sicherheitslücke nur ausnutzen, wenn der Client bereits korrekt authentifiziert ist. Patches stehen unter freedesktop.org(öffnet im neuen Fenster) im Verzeichnis Version/patches/ zur Verfügung.

Zur Startseite 2 Kommentare

Anzeige Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon
Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.

Schwere Sicherheitslücke in X.org entdeckt

Automatische Code-Analyse deckte Fehler auf. Bei einer automatischen Fehleranalyse des X Window Systems wurde die größte Sicherheitslücke in X.org seit sechs Jahren entdeckt. Lokale Benutzer können unter Ausnutzung dieses Fehlers Programmcode mit Root-Rechten ausführen. Die Überprüfung des Quellcodes mit der Analyse-Software Coverity fand im Auftrag des US-Heimatschutzministeriums statt, die Entwickler haben die Lücke bereits geschlossen.

X.org 7.2 fast fertig

Dritter Release Candidate erschienen. Die X.org-Entwickler haben den dritten Release Candidate (RC) ihres X-Servers in der Version 7.2 veröffentlicht. Damit werden noch einige Fehler korrigiert. Sofern nun keine großen Probleme mehr auftreten, soll die fertige Version am 11. Dezember 2006 erscheinen. Enthalten sind unter anderem auch neue Versionen der Grafikchip-Treiber.

Relevante Themen