• IT-Karriere:
  • Services:

Libxfont: Weitere Uralt-Lücken im X-Server entdeckt

Durch fehlende Verifizierungen in Libxfont könnten Angreifer weitergehende Rechte erhalten. Diese Fehler sind vermutlich seit der Einführung des Codes im September 1991 vorhanden.

Artikel veröffentlicht am ,
Libxfont: Weitere Uralt-Lücken im X-Server entdeckt
(Bild: X.org)

Die Codebasis des X-Servers ist über Jahrzehnte gewachsen, dementsprechend sind viele Bestandteile sehr alt. Nun weist das Team erneut auf Sicherheitslücken hin, die vermutlich mehr als 20 Jahre unentdeckt geblieben sind und damit wohl auch in allen derzeit verfügbaren X-Servern vorhanden sind. Bereits im vergangenen Oktober wurden ähnlich alte kritische Fehler entdeckt.

Stellenmarkt
  1. Vodafone GmbH, Düsseldorf
  2. Bundesnachrichtendienst, Pullach

Damit nicht jeder laufende X-Server auf die installierten Schrifttypen zugreifen muss, führte das Entwicklerteam im September 1991 mit X11R5 ein spezielles Serverprotokoll zur Handhabung eben dieser Schrifttypen ein. Wie Oracle-Mitarbeiter Alan Coopersmith jetzt schreibt, geht das Team davon aus, dass die nun gefundenen Fehler seit der ersten Einführung in der dazugehörigen Bibliothek Libxfont vorhanden sind.

Demnach entstehen die Fehler daraus, dass die vom Font-Server gesendeten Daten nicht darauf geprüft werden, ob sie gültige Protokoll-Daten sind. Dies könnte ausgenutzt werden, um Speicherüberläufe zu provozieren, wodurch angemeldete Nutzer weitergehende Rechte erlangen könnten. Ebenso könnte ein Angreifer, der den Font-Server kontrolliert, eventuell Code mit den Rechten des X-Servers ausführen - schlimmstenfalls also mit Root-Rechten.

Gefunden wurden die Fehler von Ilja van Sprundel, der für IOActive arbeitet und auch schon vor einem Jahr eine große Zahl von Fehlern in vielen Teilen des X.org-X-Servers gefunden hat. Das X.org-Team hat die Fehler gemeinsam mit van Sprundel bereits behoben, die Patches sind via Git im Hauptentwicklungszweig verfügbar. Eine neue stabile Version, die die Fehler behebt, sollte ebenfalls demnächst erscheinen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)
  2. täglich neue Deals bei Alternate.de

Hello_World 16. Mai 2014

Das ist Quatsch, denn das zentrale Sicherheitsfeature bei Wayland ist, dass...

JakeJeremy 15. Mai 2014

Oder schlecht.

Arcardy 15. Mai 2014

War das Ironie? Also ich unterstütz deine Aussage aber unironisch.

Felix_Keyway 14. Mai 2014

Wayland ist moderne, stabiler und sicherer, der X-Server sollte inzwischen nicht mehr...

dschinn1001 14. Mai 2014

genauso alt wie die Frage, welcher Computer den ersten Fehler hatte ... noch älter als...


Folgen Sie uns
       


Jedi Fallen Order - Fazit

Wer Fan von Star Wars ist und neben viel Macht auch eine gewisse Frusttoleranz in sich spürt, sollte Jedi Fallen Order eine Chance geben.

Jedi Fallen Order - Fazit Video aufrufen
Mobile-Games-Auslese: Märchen-Diablo für Mobile-Geräte
Mobile-Games-Auslese
Märchen-Diablo für Mobile-Geräte

"Einarmiger Schmied" als Klasse? Diablo bietet das nicht - das wunderschöne Yaga schon. Auch sonst finden sich in der neuen Mobile-Games-Auslese viele spannende und originelle Perlen.
Von Rainer Sigl

  1. Mobile-Games-Auslese Fantasypixel und Verkehrsplanung für unterwegs
  2. Mobile-Games-Auslese Superheld und Schlapphutträger zu Besuch im Smartphone
  3. Mobile-Games-Auslese Verdrehte Räume und verrückte Zombies für unterwegs

Mikrocontroller: Sensordaten mit Micro Python und ESP8266 auslesen
Mikrocontroller
Sensordaten mit Micro Python und ESP8266 auslesen

Python gilt als relativ einfach und ist die Sprache der Wahl in der Data Science und beim maschinellen Lernen. Aber die Sprache kann auch anders. Mithilfe von Micro Python können zum Beispiel Sensordaten ausgelesen werden. Ein kleines Elektronikprojekt ganz ohne Löten.
Eine Anleitung von Dirk Koller

  1. Python Trojanisierte Bibliotheken stehlen SSH- und GPG-Schlüssel
  2. Programmiersprache Python verkürzt Release-Zyklus auf ein Jahr
  3. Programmiersprache Anfang 2020 ist endgültig Schluss für Python 2

Minikonsolen im Video-Vergleichstest: Die sieben sinnlosen Zwerge
Minikonsolen im Video-Vergleichstest
Die sieben sinnlosen Zwerge

Golem retro_ Eigentlich sollten wir die kleinen Retrokonsolen mögen. Aber bei mittelmäßiger Emulation, schlechter Steuerung und Verarbeitung wollten wir beim Testen mitunter über die sieben Berge flüchten.
Ein Test von Martin Wolf


      •  /