Libxfont: Weitere Uralt-Lücken im X-Server entdeckt

Durch fehlende Verifizierungen in Libxfont könnten Angreifer weitergehende Rechte erhalten. Diese Fehler sind vermutlich seit der Einführung des Codes im September 1991 vorhanden.

Artikel veröffentlicht am ,
Libxfont: Weitere Uralt-Lücken im X-Server entdeckt
(Bild: X.org)

Die Codebasis des X-Servers ist über Jahrzehnte gewachsen, dementsprechend sind viele Bestandteile sehr alt. Nun weist das Team erneut auf Sicherheitslücken hin, die vermutlich mehr als 20 Jahre unentdeckt geblieben sind und damit wohl auch in allen derzeit verfügbaren X-Servern vorhanden sind. Bereits im vergangenen Oktober wurden ähnlich alte kritische Fehler entdeckt.

Stellenmarkt
  1. Referent (w/m/d) für die Arbeitsgruppe "Informations- und Kommunikationstechnik"
    Ministerium des Innern und für Kommunales des Landes Brandenburg, Potsdam
  2. IT-Leiter m/w/d
    über KISSLING Personalberatung GmbH, Großraum Balingen/Oberndorf a.N./Schömberg/Rosenfeld
Detailsuche

Damit nicht jeder laufende X-Server auf die installierten Schrifttypen zugreifen muss, führte das Entwicklerteam im September 1991 mit X11R5 ein spezielles Serverprotokoll zur Handhabung eben dieser Schrifttypen ein. Wie Oracle-Mitarbeiter Alan Coopersmith jetzt schreibt, geht das Team davon aus, dass die nun gefundenen Fehler seit der ersten Einführung in der dazugehörigen Bibliothek Libxfont vorhanden sind.

Demnach entstehen die Fehler daraus, dass die vom Font-Server gesendeten Daten nicht darauf geprüft werden, ob sie gültige Protokoll-Daten sind. Dies könnte ausgenutzt werden, um Speicherüberläufe zu provozieren, wodurch angemeldete Nutzer weitergehende Rechte erlangen könnten. Ebenso könnte ein Angreifer, der den Font-Server kontrolliert, eventuell Code mit den Rechten des X-Servers ausführen - schlimmstenfalls also mit Root-Rechten.

Gefunden wurden die Fehler von Ilja van Sprundel, der für IOActive arbeitet und auch schon vor einem Jahr eine große Zahl von Fehlern in vielen Teilen des X.org-X-Servers gefunden hat. Das X.org-Team hat die Fehler gemeinsam mit van Sprundel bereits behoben, die Patches sind via Git im Hauptentwicklungszweig verfügbar. Eine neue stabile Version, die die Fehler behebt, sollte ebenfalls demnächst erscheinen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Hello_World 16. Mai 2014

Das ist Quatsch, denn das zentrale Sicherheitsfeature bei Wayland ist, dass...

JakeJeremy 15. Mai 2014

Oder schlecht.

Arcardy 15. Mai 2014

War das Ironie? Also ich unterstütz deine Aussage aber unironisch.

Felix_Keyway 14. Mai 2014

Wayland ist moderne, stabiler und sicherer, der X-Server sollte inzwischen nicht mehr...

dschinn1001 14. Mai 2014

genauso alt wie die Frage, welcher Computer den ersten Fehler hatte ... noch älter als...



Aktuell auf der Startseite von Golem.de
CoreELEC/LibreELEC
Smart-TV mal anders

Eine TV-Box Marke Eigenbau bringt Spaß und Gewissheit über unsere Daten. Die Linux-Distributionen CoreELEC und LibreELEC eignen sich da besonders.
Eine Anleitung von Sebastian Hammer

CoreELEC/LibreELEC: Smart-TV mal anders
Artikel
  1. Softwarepatent: Uraltpatent könnte Microsoft Millionen kosten
    Softwarepatent
    Uraltpatent könnte Microsoft Millionen kosten

    Microsoft hat eine Klage um ein Software-Patent vor dem BGH verloren. Das Patent beschreibt Grundlagentechnik und könnte zahlreiche weitere Cloud-Anbieter betreffen.
    Ein Bericht von Stefan Krempl

  2. Amazon: Fire TV Stick 4K Max erhält erweiterte Heimkinofunktion
    Amazon
    Fire TV Stick 4K Max erhält erweiterte Heimkinofunktion

    Mit einem geplanten Update kann der Fire TV Stick 4K Max den Klang anderer Zuspielgeräte auf Echo-Lautsprechern ausgeben.

  3. Krypto: Angeblicher Nakamoto darf 1,1 Millionen Bitcoin behalten
    Krypto
    Angeblicher Nakamoto darf 1,1 Millionen Bitcoin behalten

    Ein Gericht hat entschieden, dass Craig Wright der Familie seines Geschäftspartners keine Bitcoins schuldet - kommt jetzt der Beweis, dass er Satoshi Nakamoto ist?

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Kingston PCIe-SSD 1TB 69,90€ & 2TB 174,90€ • Samsung Smartphones & Watches günstiger • Saturn-Advent: Xiaomi Redmi Note 9 Pro 128GB 199€ • Alternate (u. a. Razer Opus Gaming-Headset 69,99€) • Release heute: Halo Infinite 68,99€ • MM-Aktion: 3 Spiele kaufen, nur 2 bezahlen [Werbung]
    •  /