Libxfont: Weitere Uralt-Lücken im X-Server entdeckt

Durch fehlende Verifizierungen in Libxfont könnten Angreifer weitergehende Rechte erhalten. Diese Fehler sind vermutlich seit der Einführung des Codes im September 1991 vorhanden.

Artikel veröffentlicht am ,
Libxfont: Weitere Uralt-Lücken im X-Server entdeckt
(Bild: X.org)

Die Codebasis des X-Servers ist über Jahrzehnte gewachsen, dementsprechend sind viele Bestandteile sehr alt. Nun weist das Team erneut auf Sicherheitslücken hin, die vermutlich mehr als 20 Jahre unentdeckt geblieben sind und damit wohl auch in allen derzeit verfügbaren X-Servern vorhanden sind. Bereits im vergangenen Oktober wurden ähnlich alte kritische Fehler entdeckt.

Stellenmarkt
  1. Referent (w/m/d) für die Arbeitsgruppe "Informations- und Kommunikationstechnik"
    Ministerium des Innern und für Kommunales des Landes Brandenburg, Potsdam
  2. IT-Leiter m/w/d
    über KISSLING Personalberatung GmbH, Großraum Balingen/Oberndorf a.N./Schömberg/Rosenfeld
Detailsuche

Damit nicht jeder laufende X-Server auf die installierten Schrifttypen zugreifen muss, führte das Entwicklerteam im September 1991 mit X11R5 ein spezielles Serverprotokoll zur Handhabung eben dieser Schrifttypen ein. Wie Oracle-Mitarbeiter Alan Coopersmith jetzt schreibt, geht das Team davon aus, dass die nun gefundenen Fehler seit der ersten Einführung in der dazugehörigen Bibliothek Libxfont vorhanden sind.

Demnach entstehen die Fehler daraus, dass die vom Font-Server gesendeten Daten nicht darauf geprüft werden, ob sie gültige Protokoll-Daten sind. Dies könnte ausgenutzt werden, um Speicherüberläufe zu provozieren, wodurch angemeldete Nutzer weitergehende Rechte erlangen könnten. Ebenso könnte ein Angreifer, der den Font-Server kontrolliert, eventuell Code mit den Rechten des X-Servers ausführen - schlimmstenfalls also mit Root-Rechten.

Gefunden wurden die Fehler von Ilja van Sprundel, der für IOActive arbeitet und auch schon vor einem Jahr eine große Zahl von Fehlern in vielen Teilen des X.org-X-Servers gefunden hat. Das X.org-Team hat die Fehler gemeinsam mit van Sprundel bereits behoben, die Patches sind via Git im Hauptentwicklungszweig verfügbar. Eine neue stabile Version, die die Fehler behebt, sollte ebenfalls demnächst erscheinen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Reklame: Hier geht es zu Linux: Das umfassende Handbuch bei Amazon
Zu den Kommentaren springen
Verwandte Artikel
artikel-bild
Grafikserver
X.org und Wayland arbeiten besser zusammen
artikel-bild
Linux-Desktop
Wayland und Mesa werden X.org-Projekte
artikel-bild
Modesetting
Fedora verzichtet auf Intels X11-Treiber
artikel-bild
Glamor
X-Server bekommt 2D-Beschleunigung via OpenGL
artikel-bild
Grafikserver
Weder XWayland noch XMir in X.org 1.15
Meistgelesen
artikel-bild
Softwarepatent
Uraltpatent könnte Microsoft Millionen kosten
artikel-bild
Tim Cook
Apple traf geheime Absprache mit chinesischer Regierung
artikel-bild
Krypto
Angeblicher Nakamoto darf 1,1 Millionen Bitcoin behalten
artikel-bild
Spielfilm
Matrix trifft Unreal Engine 5
artikel-bild
Microsoft
Monatliches Office 365 wird 20 Prozent mehr kosten
Kommentarübersicht
Re: Weg damit
Hello_World 16. Mai 2014

Das ist Quatsch, denn das zentrale Sicherheitsfeature bei Wayland ist, dass...

Re: Open Source
JakeJeremy 15. Mai 2014

Oder schlecht.

Re: Linux wird immer sicherer^^
Arcardy 15. Mai 2014

War das Ironie? Also ich unterstütz deine Aussage aber unironisch.

Weg mit diesem mutierenden Stück Software
Felix_Keyway 14. Mai 2014

Wayland ist moderne, stabiler und sicherer, der X-Server sollte inzwischen nicht mehr...

was war zuerst da ?!
dschinn1001 14. Mai 2014

genauso alt wie die Frage, welcher Computer den ersten Fehler hatte ... noch älter als...

Aktuell auf der Startseite von Golem.de
CoreELEC/LibreELEC
Smart-TV mal anders

Eine TV-Box Marke Eigenbau bringt Spaß und Gewissheit über unsere Daten. Die Linux-Distributionen CoreELEC und LibreELEC eignen sich da besonders.
Eine Anleitung von Sebastian Hammer

CoreELEC/LibreELEC: Smart-TV mal anders
Artikel
  1. Softwarepatent: Uraltpatent könnte Microsoft Millionen kosten
    Softwarepatent
    Uraltpatent könnte Microsoft Millionen kosten

    Microsoft hat eine Klage um ein Software-Patent vor dem BGH verloren. Das Patent beschreibt Grundlagentechnik und könnte zahlreiche weitere Cloud-Anbieter betreffen.
    Ein Bericht von Stefan Krempl

  2. Amazon: Fire TV Stick 4K Max erhält erweiterte Heimkinofunktion
    Amazon
    Fire TV Stick 4K Max erhält erweiterte Heimkinofunktion

    Mit einem geplanten Update kann der Fire TV Stick 4K Max den Klang anderer Zuspielgeräte auf Echo-Lautsprechern ausgeben.

  3. Krypto: Angeblicher Nakamoto darf 1,1 Millionen Bitcoin behalten
    Krypto
    Angeblicher Nakamoto darf 1,1 Millionen Bitcoin behalten

    Ein Gericht hat entschieden, dass Craig Wright der Familie seines Geschäftspartners keine Bitcoins schuldet - kommt jetzt der Beweis, dass er Satoshi Nakamoto ist?

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Stellemarkt-Logo
Zur Akademie
Akademie-Logo
Zum Coaching
Shifoo-Logo
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Kingston PCIe-SSD 1TB 69,90€ & 2TB 174,90€ • Samsung Smartphones & Watches günstiger • Saturn-Advent: Xiaomi Redmi Note 9 Pro 128GB 199€ • Alternate (u. a. Razer Opus Gaming-Headset 69,99€) • Release heute: Halo Infinite 68,99€ • MM-Aktion: 3 Spiele kaufen, nur 2 bezahlen [Werbung]
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /