• IT-Karriere:
  • Services:

Libxfont: Weitere Uralt-Lücken im X-Server entdeckt

Durch fehlende Verifizierungen in Libxfont könnten Angreifer weitergehende Rechte erhalten. Diese Fehler sind vermutlich seit der Einführung des Codes im September 1991 vorhanden.

Artikel veröffentlicht am ,
Libxfont: Weitere Uralt-Lücken im X-Server entdeckt
(Bild: X.org)

Die Codebasis des X-Servers ist über Jahrzehnte gewachsen, dementsprechend sind viele Bestandteile sehr alt. Nun weist das Team erneut auf Sicherheitslücken hin, die vermutlich mehr als 20 Jahre unentdeckt geblieben sind und damit wohl auch in allen derzeit verfügbaren X-Servern vorhanden sind. Bereits im vergangenen Oktober wurden ähnlich alte kritische Fehler entdeckt.

Stellenmarkt
  1. über duerenhoff GmbH, Raum Amstetten (Österreich)
  2. abilex GmbH, Sindelfingen

Damit nicht jeder laufende X-Server auf die installierten Schrifttypen zugreifen muss, führte das Entwicklerteam im September 1991 mit X11R5 ein spezielles Serverprotokoll zur Handhabung eben dieser Schrifttypen ein. Wie Oracle-Mitarbeiter Alan Coopersmith jetzt schreibt, geht das Team davon aus, dass die nun gefundenen Fehler seit der ersten Einführung in der dazugehörigen Bibliothek Libxfont vorhanden sind.

Demnach entstehen die Fehler daraus, dass die vom Font-Server gesendeten Daten nicht darauf geprüft werden, ob sie gültige Protokoll-Daten sind. Dies könnte ausgenutzt werden, um Speicherüberläufe zu provozieren, wodurch angemeldete Nutzer weitergehende Rechte erlangen könnten. Ebenso könnte ein Angreifer, der den Font-Server kontrolliert, eventuell Code mit den Rechten des X-Servers ausführen - schlimmstenfalls also mit Root-Rechten.

Gefunden wurden die Fehler von Ilja van Sprundel, der für IOActive arbeitet und auch schon vor einem Jahr eine große Zahl von Fehlern in vielen Teilen des X.org-X-Servers gefunden hat. Das X.org-Team hat die Fehler gemeinsam mit van Sprundel bereits behoben, die Patches sind via Git im Hauptentwicklungszweig verfügbar. Eine neue stabile Version, die die Fehler behebt, sollte ebenfalls demnächst erscheinen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. 1,07€
  2. 4,96€
  3. 4,99€
  4. (-73%) 15,99€

Hello_World 16. Mai 2014

Das ist Quatsch, denn das zentrale Sicherheitsfeature bei Wayland ist, dass...

JakeJeremy 15. Mai 2014

Oder schlecht.

Arcardy 15. Mai 2014

War das Ironie? Also ich unterstütz deine Aussage aber unironisch.

Felix_Keyway 14. Mai 2014

Wayland ist moderne, stabiler und sicherer, der X-Server sollte inzwischen nicht mehr...

dschinn1001 14. Mai 2014

genauso alt wie die Frage, welcher Computer den ersten Fehler hatte ... noch älter als...


Folgen Sie uns
       


Google Stadia - Test

Beim Test haben wir verschiedene Spiele auf Stadia von Google ausprobiert und uns mit der Einrichtung und dem Zugang beschäftigt.

Google Stadia - Test Video aufrufen
In eigener Sache: Aktiv werden für Golem.de
In eigener Sache
Aktiv werden für Golem.de

Keine Werbung, kein unerwünschtes Tracking - kein Problem! Wer Golem.de-Inhalte pur nutzen möchte, hat neben dem Abo Golem pur jetzt eine weitere Möglichkeit, Golem.de zu unterstützen.

  1. Golem Akademie Von wegen rechtsfreier Raum!
  2. In eigener Sache Wie sich Unternehmen und Behörden für ITler attraktiv machen
  3. In eigener Sache Unser Kubernetes-Workshop kommt auf Touren

Handelskrieg: Zartbittere Zeiten für Chinas Technikbranche
Handelskrieg
Zartbittere Zeiten für Chinas Technikbranche

"Bitterkeit essen" heißt es in China, wenn schlechte Zeiten überstanden werden müssen. Doch so schlimm wie Donald Trump es darstellt, wird der Handelskrieg mit den USA für Chinas Technikbranche wohl nicht werden.
Eine Analyse von Finn Mayer-Kuckuk

  1. Smarter Türöffner Nello One soll weiter nutzbar sein
  2. Bonaverde Berliner Kaffee-Startup meldet Insolvenz an
  3. Unitymedia Vodafone plant großen Stellenabbau in Deutschland

Raumfahrt: Mehr Geld für die Raumfahrt reicht nicht aus
Raumfahrt
Mehr Geld für die Raumfahrt reicht nicht aus

Eine mögliche leichte Senkung des deutschen Beitrags zur Esa bringt nicht die Raumfahrt in Gefahr. Deren heutige Probleme sind Resultat von Fehlentscheidungen, die hohe Kosten und Ausgaben nach sich ziehen. Zuerst braucht es Reformen statt noch mehr Geld.
Ein IMHO von Frank Wunderlich-Pfeiffer

  1. Space Rider Neuer Anlauf für eine eigene europäische Raumfähre
  2. Vega Raketenabsturz lässt Fragen offen

    •  /