Libxfont: Weitere Uralt-Lücken im X-Server entdeckt
Durch fehlende Verifizierungen in Libxfont könnten Angreifer weitergehende Rechte erhalten. Diese Fehler sind vermutlich seit der Einführung des Codes im September 1991 vorhanden.

Die Codebasis des X-Servers ist über Jahrzehnte gewachsen, dementsprechend sind viele Bestandteile sehr alt. Nun weist das Team erneut auf Sicherheitslücken hin, die vermutlich mehr als 20 Jahre unentdeckt geblieben sind und damit wohl auch in allen derzeit verfügbaren X-Servern vorhanden sind. Bereits im vergangenen Oktober wurden ähnlich alte kritische Fehler entdeckt.
Damit nicht jeder laufende X-Server auf die installierten Schrifttypen zugreifen muss, führte das Entwicklerteam im September 1991 mit X11R5 ein spezielles Serverprotokoll zur Handhabung eben dieser Schrifttypen ein. Wie Oracle-Mitarbeiter Alan Coopersmith jetzt schreibt, geht das Team davon aus, dass die nun gefundenen Fehler seit der ersten Einführung in der dazugehörigen Bibliothek Libxfont vorhanden sind.
Demnach entstehen die Fehler daraus, dass die vom Font-Server gesendeten Daten nicht darauf geprüft werden, ob sie gültige Protokoll-Daten sind. Dies könnte ausgenutzt werden, um Speicherüberläufe zu provozieren, wodurch angemeldete Nutzer weitergehende Rechte erlangen könnten. Ebenso könnte ein Angreifer, der den Font-Server kontrolliert, eventuell Code mit den Rechten des X-Servers ausführen - schlimmstenfalls also mit Root-Rechten.
Gefunden wurden die Fehler von Ilja van Sprundel, der für IOActive arbeitet und auch schon vor einem Jahr eine große Zahl von Fehlern in vielen Teilen des X.org-X-Servers gefunden hat. Das X.org-Team hat die Fehler gemeinsam mit van Sprundel bereits behoben, die Patches sind via Git im Hauptentwicklungszweig verfügbar. Eine neue stabile Version, die die Fehler behebt, sollte ebenfalls demnächst erscheinen.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
- ohne Werbung
- mit ausgeschaltetem Javascript
- mit RSS-Volltext-Feed
Das ist Quatsch, denn das zentrale Sicherheitsfeature bei Wayland ist, dass...
Oder schlecht.
War das Ironie? Also ich unterstütz deine Aussage aber unironisch.
Wayland ist moderne, stabiler und sicherer, der X-Server sollte inzwischen nicht mehr...
genauso alt wie die Frage, welcher Computer den ersten Fehler hatte ... noch älter als...