• IT-Karriere:
  • Services:

Displayserver: Fast alle X.org-Bibliotheken mit Sicherheitslücken

28 teils gefährliche Sicherheitslücken in den zahlreichen Bibliotheken des Displayservers X.org haben die Entwickler geschlossen. Sie betreffen alle bisherigen Versionen des X Window System.

Artikel veröffentlicht am ,
Zahlreiche Bibliotheken des Displayservers X.org sind von Schwachstellen betroffen.
Zahlreiche Bibliotheken des Displayservers X.org sind von Schwachstellen betroffen. (Bild: X.org)

Solange X Clients und der Server vom selben Benutzer gestartet und verwendet werden, stellen die jetzt gefundenen Sicherheitslücken kein Problem dar, wie die Entwickler vom X.org-Projekt schreiben. Wenn jedoch ein privilegierter Client eine Verbindung zu einem unprivilegierten Server aufbaut, etwa zu einem virtuellen Xserver wie Xvfb oder Xephyr, dann können sich Benutzer unter Umständen Root-Rechte verschaffen.

Stellenmarkt
  1. Deutsche Rentenversicherung Bund, Berlin
  2. Tröger & Cie. Aktiengesellschaft, Raum Bremen

Da es sich um Fehler in der Handhabung der Protokolle handelt, sind nahezu alle Client-Bibliotheken betroffen. Ermittelt hat sie der Sicherheitsexperte Ilja van Sprundel von der Firma Ioactive. Er wandte sich an die X.org-Entwickler und gemeinsam erarbeiteten sie Lösungen, die jetzt im Code umgesetzt wurden.

Bei den gefundenen Fehlern handelt es sich unter anderem um Integer Overflows, die bei der Berechnung des benötigten Speichers auftreten können. Davon betroffen sind zahlreiche Funktionen in vielen Bibliotheken, darunter LibX11 bis Version 1.5.99.901, LibXinerama 1.1.2 (CVE-2013-1985), LibXp 1.0.1 (CVE-2013-2062), LibXrandr 1.4.0 (CVE-2013-1986), LibXrender 0.9.7 (CVE-2013-1987), LibXRes 1.0.6 (CVE-2013-1988), LibGLX in Mesa 9.1.1 (CVE-2013-1993) sowie libchromeXvMC und libchromeXvMCPro in Openchrome 0.3.2 (CVE-2013-1994).

In den beiden Bibliotheken LibXi 1.7.1 (CVE-2013-1995) und LibFS 1.0.4 (CVE-2013-1996) werden die Vorzeichen während der Berechnung des benötigten Speichers nicht hinreichend überprüft. Pufferüberläufe wegen mangelnder Verifizierung der Länge oder Offset-Werte können in den Bibliotheken LibX11 1.5.99.901 (CVE-2013-1997) oder LibXv 1.0.7 (CVE-2013-1998) auftreten. LibX11 1.5.99.901 hat auch weitere Schwachstellen, darunter Probleme beim Parsen von benutzerspezifischen Dateien.

Patches sind inzwischen im Github-Repository erhältlich.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. 14,99€
  2. (-53%) 13,99€
  3. (-30%) 41,99€
  4. 9,49€

lisgoem8 04. Sep 2013

Dürften aber besonders unter Windows deutlich mehr sein. Ausserdem wird kein...

LustigerWanderer 31. Aug 2013

Dieses Märchen vom sicherereren Linux stammt wohl aus einer Zeit, wo Linux noch wenig...


Folgen Sie uns
       


Mechwarrior 5 - 8 Minuten Gameplay

In Mechwarrior 5 setzen wir uns einmal mehr in einen tonnenschweren Kampfroboter und schmelzen die gegnerischen Metallungetüme. Zuvor rüsten wir unseren stampfenden Mech aber mit entsprechenden Waffen aus.

Mechwarrior 5 - 8 Minuten Gameplay Video aufrufen
Lovot im Hands-on: Knuddeliger geht ein Roboter kaum
Lovot im Hands-on
Knuddeliger geht ein Roboter kaum

CES 2020 Lovot ist ein Kofferwort aus Love und Robot: Der knuffige japanische Roboter soll positive Emotionen auslösen - und tut das auch. Selten haben wir so oft "Ohhhhhhh!" gehört.
Ein Hands on von Tobias Költzsch

  1. Orcam Hear Die Audiobrille für Hörgeschädigte
  2. Schräges von der CES 2020 Die Connected-Kartoffel
  3. Viola angeschaut Cherry präsentiert preiswerten mechanischen Switch

Kaufberatung (2020): Die richtige CPU und Grafikkarte
Kaufberatung (2020)
Die richtige CPU und Grafikkarte

Grafikkarten und Prozessoren wurden 2019 deutlich besser, denn AMD ist komplett auf 7-nm-Technik umgestiegen. Intel hat zwar 10-nm-Chips marktreif, die Leistung stagniert aber und auch Nvidia verkauft nur 12-nm-Designs. Wir beraten bei Komponenten und geben einen Ausblick.
Von Marc Sauter

  1. SSDs Intel arbeitet an 144-Schicht-Speicher und 5-Bit-Zellen
  2. Schnittstelle PCIe Gen6 verdoppelt erneut Datenrate

Sicherheitslücken: Microsoft-Parkhäuser ungeschützt im Internet
Sicherheitslücken
Microsoft-Parkhäuser ungeschützt im Internet

Eigentlich sollte die Parkhaussteuerung nicht aus dem Internet erreichbar sein. Doch auf die Parkhäuser am Microsoft-Hauptsitz in Redmond konnten wir problemlos zugreifen. Nicht das einzige Sicherheitsproblem auf dem Parkhaus-Server.
Von Moritz Tremmel

  1. Datenleck Microsoft-Datenbank mit 250 Millionen Support-Fällen im Netz
  2. Office 365 Microsoft testet Werbebanner in Wordpad für Windows 10
  3. Application Inspector Microsoft legt Werkzeug zur Code-Analyse offen

    •  /