Abo
  • Services:
Anzeige
Libxfont: Weitere Uralt-Lücken im X-Server entdeckt
(Bild: X.org)

Libxfont: Weitere Uralt-Lücken im X-Server entdeckt

Durch fehlende Verifizierungen in Libxfont könnten Angreifer weitergehende Rechte erhalten. Diese Fehler sind vermutlich seit der Einführung des Codes im September 1991 vorhanden.

Anzeige

Die Codebasis des X-Servers ist über Jahrzehnte gewachsen, dementsprechend sind viele Bestandteile sehr alt. Nun weist das Team erneut auf Sicherheitslücken hin, die vermutlich mehr als 20 Jahre unentdeckt geblieben sind und damit wohl auch in allen derzeit verfügbaren X-Servern vorhanden sind. Bereits im vergangenen Oktober wurden ähnlich alte kritische Fehler entdeckt.

Damit nicht jeder laufende X-Server auf die installierten Schrifttypen zugreifen muss, führte das Entwicklerteam im September 1991 mit X11R5 ein spezielles Serverprotokoll zur Handhabung eben dieser Schrifttypen ein. Wie Oracle-Mitarbeiter Alan Coopersmith jetzt schreibt, geht das Team davon aus, dass die nun gefundenen Fehler seit der ersten Einführung in der dazugehörigen Bibliothek Libxfont vorhanden sind.

Demnach entstehen die Fehler daraus, dass die vom Font-Server gesendeten Daten nicht darauf geprüft werden, ob sie gültige Protokoll-Daten sind. Dies könnte ausgenutzt werden, um Speicherüberläufe zu provozieren, wodurch angemeldete Nutzer weitergehende Rechte erlangen könnten. Ebenso könnte ein Angreifer, der den Font-Server kontrolliert, eventuell Code mit den Rechten des X-Servers ausführen - schlimmstenfalls also mit Root-Rechten.

Gefunden wurden die Fehler von Ilja van Sprundel, der für IOActive arbeitet und auch schon vor einem Jahr eine große Zahl von Fehlern in vielen Teilen des X.org-X-Servers gefunden hat. Das X.org-Team hat die Fehler gemeinsam mit van Sprundel bereits behoben, die Patches sind via Git im Hauptentwicklungszweig verfügbar. Eine neue stabile Version, die die Fehler behebt, sollte ebenfalls demnächst erscheinen.


eye home zur Startseite
Hello_World 16. Mai 2014

Das ist Quatsch, denn das zentrale Sicherheitsfeature bei Wayland ist, dass...

JakeJeremy 15. Mai 2014

Oder schlecht.

Arcardy 15. Mai 2014

War das Ironie? Also ich unterstütz deine Aussage aber unironisch.

Felix_Keyway 14. Mai 2014

Wayland ist moderne, stabiler und sicherer, der X-Server sollte inzwischen nicht mehr...

dschinn1001 14. Mai 2014

genauso alt wie die Frage, welcher Computer den ersten Fehler hatte ... noch älter als...



Anzeige

Stellenmarkt
  1. Robert Bosch GmbH, Böblingen
  2. ROHDE & SCHWARZ GmbH & Co. KG, München
  3. Robert Bosch GmbH, Hildesheim
  4. Adcubum Deutschland GmbH, Stuttgart


Anzeige
Top-Angebote
  1. 299,00€
  2. 47,99€
  3. 29,97€

Folgen Sie uns
       


  1. UE Blast und Megablast

    Alexa-Lautsprecher sind wasserfest und haben einen Akku

  2. TPCast im Hands on

    Überzeugende drahtlose Virtuelle Realität

  3. Separate Cloud-Version

    Lightroom nur noch als Abo erhältlich

  4. 360 Round

    Samsungs 360-Grad-Kamera hat 17 Objektive

  5. X299E-ITX/ac

    Asrock quetscht Sockel 2066 auf Mini-ITX-Board

  6. Alternativer Antrieb

    Toyota zeigt Brennstoffzellenauto und Bus

  7. U-Bahn

    Telefónica baut BTS-Hotels im Berliner Untergrund

  8. Kabelnetz

    Statt auf Docsis 3.1 lieber gleich auf Glasfaser setzen

  9. Virtuelle Güter

    Activision patentiert Förderung von Mikrotransaktionen

  10. Nervana Neural Network Processor

    Intels KI-Chip erscheint Ende 2017



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
APFS in High Sierra 10.13 im Test: Apple hat die MacOS-Dateisystem-Werkzeuge vergessen
APFS in High Sierra 10.13 im Test
Apple hat die MacOS-Dateisystem-Werkzeuge vergessen
  1. MacOS 10.13 Apple gibt High Sierra frei
  2. MacOS 10.13 High Sierra Wer eine SSD hat, muss auf APFS umstellen

Elex im Test: Schroffe Schale und postapokalyptischer Kern
Elex im Test
Schroffe Schale und postapokalyptischer Kern

Indiegames-Rundschau: Fantastische Fantasy und das Echo der Doppelgänger
Indiegames-Rundschau
Fantastische Fantasy und das Echo der Doppelgänger
  1. Verlag IGN übernimmt Indiegames-Anbieter Humble Bundle
  2. Indiegames-Rundschau Cyberpunk, Knetmännchen und Kampfsportkünstler
  3. Indiegames-Rundschau Fantasysport, Burgbelagerungen und ein amorpher Blob

  1. Sinn?

    gaym0r | 09:34

  2. Re: Ich als Hobbyfotograf..

    Asser | 09:32

  3. Re: Sony Vaio P Serie bleibt also für immer ohne...

    Geigenzaehler | 09:31

  4. Re: OMG war das lahm

    Raistlin | 09:21

  5. Re: Bei "Intel Atom" habe ich aufgehört zu lesen

    superdachs | 09:20


  1. 09:01

  2. 08:00

  3. 07:52

  4. 07:33

  5. 07:23

  6. 07:15

  7. 19:09

  8. 17:40


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel