Linux: Xscreensaver bekommt Security-Rewrite

Der fast 30 Jahre alte Xscreensaver gilt immer noch als Lockscreen-Referenz in Linux-Systemen und bekommt nun einen Rewrite.

Artikel veröffentlicht am ,
Die Sperre des Xscreensavers kann ein Sicherheitsrisiko sein. Der Code dafür wurde nun komplett neu geschrieben.
Die Sperre des Xscreensavers kann ein Sicherheitsrisiko sein. Der Code dafür wurde nun komplett neu geschrieben. (Bild: Pixabay)

Der Entwickler Jamie Zawinski hat eine Betavorschau der Version 6 des Xscreensavers veröffentlicht, wie er in seinem Blog schreibt. Das Open-Source-Projekt ist inzwischen fast 30 Jahre alt und die zugrundeliegende Technik wird trotz vieler konzeptioneller Probleme des X11-Codes von vielen Linux-Distributionen und Desktop-Oberflächen weiter verwendet. Zuletzt hat das in Linux-Mint zu einer Sicherheitslücke geführt. Zawinski hat mehrfach auf derartige Probleme anderer ähnlicher Projekte hingewiesen und nun offenbar auch als Reaktion darauf den eigenen Xscreensaver-Code mit einem Fokus auf Sicherheit komplett überarbeitet.

Stellenmarkt
  1. SAP FICO Berater (m/w/x)
    über duerenhoff GmbH, Raum Frankfurt am Main
  2. Network / Security Engineer (m/w/d)
    HCD Consulting GmbH, München
Detailsuche

Ziel des Xscreensaver Codes sei es immer gewesen, den kritischen Bestandteil weitgehend zu verringern. Laut Zawinski sei dieser kritische Teil jener, der bei einem Absturz dazu führe, dass der Bildschirm trotz einer Sperre freigegeben werden kann. Genau das ist auch der Screenlock-Implementierung von Linux Mint zum Verhängnis geworden. Diesen kritischen Code im altehrwürdigen Xscreensaver habe Zawinski nun eigenen Angaben zufolge um 87 Prozent reduziert.

Eben wegen der langen Erfahrung Zawinskis mit dem Projekt gilt dessen Code als Referenz für die anderen Implementierungen eines Screenlocks und des Bildschirmschoners. Doch trotz der langen Arbeiten am Xscreensaver sei der Code-Umfang bisher immer noch sehr groß gewesen. Das liege unter anderem daran, dass der Xscreensaver älter als HDMI und sogar älter als USB sei und der Code über die Jahrzehnte entsprechend angewachsen sei.

Großer Rewrite des Xscreensavers

Zawinski habe den Code nun nochmal völlig neu betrachtet und daraufhin analysiert, was wirklich in dem kritischen Teil vorhanden sein muss. Neben dem Ende des Supports für X11-Systeme, die mehr als 15 Jahre alt sind, hat Zawinski auch den Code und Aufbau von Xscreensaver grundlegend überarbeitet. Statt einer großen Binärdatei bestehe das Projekt nun aus drei ausführbaren Dateien, die zusammen auch weniger Code enthalten als vorher.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe
Golem Karrierewelt
  1. Green IT: Praxisratgeber zur nachhaltigen IT-Nutzung (virtueller Ein-Tages-Workshop)
    26.10.2022, virtuell
  2. Deep-Dive Kubernetes – Observability, Monitoring & Alerting: virtueller Ein-Tages-Workshop
    10.11.2022, Virtuell
Weitere IT-Trainings

Zu den wohl wichtigsten Neuerungen gehört, dass bei einem Absturz der Passworteingabe damit nun nicht mehr auch der gesamte Xscreensaver abstürzt. Das neue Verhalten ist dabei analog zur Eingabe eines falschen Passworts. Stürzt zudem der für die Grafik zuständige Code ab, sei zwar immer noch zwischenzeitlich der Desktop sichtbar, bis zum Neustart seien aber weder Maus noch Tastatur nutzbar, der Bildschirm also im Prinzip weiter gesperrt. Das Umgehen der Sperrfunktion sollte also deutlich schwieriger sein als bisher.

Da es sich bei dem neuen Ansatz um eine sehr große Änderung am Code handele, fordert Zawinski nun Nutzer dazu auf, die Vorabversion ausgiebig zu testen und vor allem zu versuchen, den Code zum Absturz zu bringen und damit die Bildschirmsperre zu umgehen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Norcoen 23. Feb 2021

welche ungesicherten Arbeiten gibt es denn heute noch so? Wenn man sich nicht eh schon...

simon.budig 22. Feb 2021

Der Artikel ist irreführend. Die Probleme in Linux-Mint wurden *nicht* durch den Code aus...

Vanger 22. Feb 2021

Nach dem Linux-"Sicherheit-ist-ein-zu-konfigurierendes-Markmal"-Mint-Fail hatte er in...



Aktuell auf der Startseite von Golem.de
Neue Grafikkarten
Erste Preise für Nvidias Geforce RTX 4090 aufgetaucht

Der US-Händler Newegg gibt einen Blick auf die Preise der Nvidia-Ada-Grafikkarten. Sie werden teurer als die Geforce RTX 3090 zuvor.

Neue Grafikkarten: Erste Preise für Nvidias Geforce RTX 4090 aufgetaucht
Artikel
  1. Smart Home Eco Systems: Was unterscheidet Alexa von Homekit von Google Home?
    Smart Home Eco Systems
    Was unterscheidet Alexa von Homekit von Google Home?

    Alexa, Homekit, Google Home - ist das nicht eigentlich alles das Gleiche? Nein, es gibt erhebliche Unterschiede bei Sprachsteuerung, Integration und Datenschutz. Ein Vergleich.
    Eine Analyse von Karl-Heinz Müller

  2. Hideo Kojima: Es sollte ein Death-Stranding-Spiel für Google Stadia geben
    Hideo Kojima
    Es sollte ein Death-Stranding-Spiel für Google Stadia geben

    Hideo Kojima arbeitete am Exklusivtitel für Stadia. Das wurde vorzeitig eingestellt, auch weil Google nicht an Einzelspieler-Games glaubte.

  3. Superbase V: Zendures Solarstation mit 6.400 Wh kommt mit hohem Rabatt
    Superbase V
    Zendures Solarstation mit 6.400 Wh kommt mit hohem Rabatt

    Vor dem Verkaufsstart über die eigene Webseite verkauft Zendure seine Superbase V über Kickstarter - mit teilweise fast 50 Prozent Rabatt.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Razer DeathAdder V3 Pro 106,39€ • Alternate (u. a. Kingston FURY Beast RGB 32 GB DDR5-6000 226,89€, be quiet! Silent Base 802 Window 156,89€) • MindFactory (u. a. Kingston A400 240/480 GB 17,50€/32€) • SanDisk microSDXC 400 GB 29,99€ • PCGH-Ratgeber-PC 3000 Radeon Edition 2.500€ [Werbung]
    •  /