Abo
  • Services:

Displayserver: Fast alle X.org-Bibliotheken mit Sicherheitslücken

28 teils gefährliche Sicherheitslücken in den zahlreichen Bibliotheken des Displayservers X.org haben die Entwickler geschlossen. Sie betreffen alle bisherigen Versionen des X Window System.

Artikel veröffentlicht am ,
Zahlreiche Bibliotheken des Displayservers X.org sind von Schwachstellen betroffen.
Zahlreiche Bibliotheken des Displayservers X.org sind von Schwachstellen betroffen. (Bild: X.org)

Solange X Clients und der Server vom selben Benutzer gestartet und verwendet werden, stellen die jetzt gefundenen Sicherheitslücken kein Problem dar, wie die Entwickler vom X.org-Projekt schreiben. Wenn jedoch ein privilegierter Client eine Verbindung zu einem unprivilegierten Server aufbaut, etwa zu einem virtuellen Xserver wie Xvfb oder Xephyr, dann können sich Benutzer unter Umständen Root-Rechte verschaffen.

Stellenmarkt
  1. ESG Elektroniksystem- und Logistik-GmbH, Fürstenfeldbruck
  2. Hays AG, Frankfurt

Da es sich um Fehler in der Handhabung der Protokolle handelt, sind nahezu alle Client-Bibliotheken betroffen. Ermittelt hat sie der Sicherheitsexperte Ilja van Sprundel von der Firma Ioactive. Er wandte sich an die X.org-Entwickler und gemeinsam erarbeiteten sie Lösungen, die jetzt im Code umgesetzt wurden.

Bei den gefundenen Fehlern handelt es sich unter anderem um Integer Overflows, die bei der Berechnung des benötigten Speichers auftreten können. Davon betroffen sind zahlreiche Funktionen in vielen Bibliotheken, darunter LibX11 bis Version 1.5.99.901, LibXinerama 1.1.2 (CVE-2013-1985), LibXp 1.0.1 (CVE-2013-2062), LibXrandr 1.4.0 (CVE-2013-1986), LibXrender 0.9.7 (CVE-2013-1987), LibXRes 1.0.6 (CVE-2013-1988), LibGLX in Mesa 9.1.1 (CVE-2013-1993) sowie libchromeXvMC und libchromeXvMCPro in Openchrome 0.3.2 (CVE-2013-1994).

In den beiden Bibliotheken LibXi 1.7.1 (CVE-2013-1995) und LibFS 1.0.4 (CVE-2013-1996) werden die Vorzeichen während der Berechnung des benötigten Speichers nicht hinreichend überprüft. Pufferüberläufe wegen mangelnder Verifizierung der Länge oder Offset-Werte können in den Bibliotheken LibX11 1.5.99.901 (CVE-2013-1997) oder LibXv 1.0.7 (CVE-2013-1998) auftreten. LibX11 1.5.99.901 hat auch weitere Schwachstellen, darunter Probleme beim Parsen von benutzerspezifischen Dateien.

Patches sind inzwischen im Github-Repository erhältlich.



Anzeige
Spiele-Angebote
  1. 39,99€
  2. 53,99€

lisgoem8 04. Sep 2013

Dürften aber besonders unter Windows deutlich mehr sein. Ausserdem wird kein...

LustigerWanderer 31. Aug 2013

Dieses Märchen vom sicherereren Linux stammt wohl aus einer Zeit, wo Linux noch wenig...


Folgen Sie uns
       


God of War (2018) - Fazit

Viele langjährige Fans von Kratos dürften beim neuen God of War erst mal vom Glauben abfallen. Der Neue hat aber auf eigenständige Art ebenfalls das Zeug zum Kulthelden.

God of War (2018) - Fazit Video aufrufen
HTC Vive Pro im Test: Das beste VR-Headset ist nicht der beste Kauf
HTC Vive Pro im Test
Das beste VR-Headset ist nicht der beste Kauf

Höhere Auflösung, integrierter Kopfhörer und ein sehr bequemer Kopfbügel: Das HTC Vive Pro macht alles besser und gilt für uns als das beste VR-Headset, das wir bisher ausprobiert haben. Allerdings ist der Preis dafür so hoch, dass kaufen meist keine clevere Entscheidung ist.
Ein Test von Oliver Nickel

  1. VR-Headset HTCs Vive Pro kostet 880 Euro
  2. HTC Vive Pro ausprobiert VR-Headset hat mehr Pixel und Komfort
  3. Vive Focus HTC stellt autarkes VR-Headset vor

Digitalfotografie: Inkonsistentes Rauschen verrät den Fälscher
Digitalfotografie
Inkonsistentes Rauschen verrät den Fälscher

War der Anhänger wirklich so groß wie der Ring? Versucht da gerade einer, die Versicherung zu betuppen? Wenn Omas Erbstück geklaut wurde, muss die Versicherung wohl dem Digitalfoto des Geschädigten glauben. Oder sie engagiert einen Bildforensiker, der das Foto darauf untersucht, ob es bearbeitet wurde.
Ein Bericht von Werner Pluta

  1. iOS und Android Google lanciert drei experimentelle Foto-Apps
  2. Aufstecksucher für TL2 Entwarnung bei Leica

Facebook-Anhörung: Zuckerbergs Illusion von der vollen Kontrolle
Facebook-Anhörung
Zuckerbergs Illusion von der vollen Kontrolle

In einer mehrstündigen Anhörung vor dem US-Senat hat Facebook-Chef Mark Zuckerberg sein Unternehmen verteidigt. Doch des Öfteren hinterließ er den Eindruck, als wisse er selbst nicht genau, was er in den vergangenen Jahren da geschaffen hat.
Eine Analyse von Friedhelm Greis

  1. Facebook Verschärfte Regeln für Politwerbung und beliebte Seiten
  2. Facebook Messenger Zuckerbergs Nachrichten heimlich auf Nutzerkonten gelöscht
  3. Böswillige Akteure Die meisten der zwei Milliarden Facebook-Profile ausgelesen

    •  /