Linux: Xscreensaver bekommt Security-Rewrite

Der fast 30 Jahre alte Xscreensaver gilt immer noch als Lockscreen-Referenz in Linux-Systemen und bekommt nun einen Rewrite.

Artikel veröffentlicht am ,
Die Sperre des Xscreensavers kann ein Sicherheitsrisiko sein. Der Code dafür wurde nun komplett neu geschrieben.
Die Sperre des Xscreensavers kann ein Sicherheitsrisiko sein. Der Code dafür wurde nun komplett neu geschrieben. (Bild: Pixabay)

Der Entwickler Jamie Zawinski hat eine Betavorschau der Version 6 des Xscreensavers veröffentlicht, wie er in seinem Blog schreibt. Das Open-Source-Projekt ist inzwischen fast 30 Jahre alt und die zugrundeliegende Technik wird trotz vieler konzeptioneller Probleme des X11-Codes von vielen Linux-Distributionen und Desktop-Oberflächen weiter verwendet. Zuletzt hat das in Linux-Mint zu einer Sicherheitslücke geführt. Zawinski hat mehrfach auf derartige Probleme anderer ähnlicher Projekte hingewiesen und nun offenbar auch als Reaktion darauf den eigenen Xscreensaver-Code mit einem Fokus auf Sicherheit komplett überarbeitet.

Stellenmarkt
  1. Referentin / Referent für den Bereich Organisations- und Informationsmanagement (m/w/d)
    Kommunale Gemeinschaftsstelle für Verwaltungsmanagement (KGSt), Köln
  2. PHP Developer / Full-Stack Developer (x/w/m)
    Plan Software GmbH, Saarbrücken
Detailsuche

Ziel des Xscreensaver Codes sei es immer gewesen, den kritischen Bestandteil weitgehend zu verringern. Laut Zawinski sei dieser kritische Teil jener, der bei einem Absturz dazu führe, dass der Bildschirm trotz einer Sperre freigegeben werden kann. Genau das ist auch der Screenlock-Implementierung von Linux Mint zum Verhängnis geworden. Diesen kritischen Code im altehrwürdigen Xscreensaver habe Zawinski nun eigenen Angaben zufolge um 87 Prozent reduziert.

Eben wegen der langen Erfahrung Zawinskis mit dem Projekt gilt dessen Code als Referenz für die anderen Implementierungen eines Screenlocks und des Bildschirmschoners. Doch trotz der langen Arbeiten am Xscreensaver sei der Code-Umfang bisher immer noch sehr groß gewesen. Das liege unter anderem daran, dass der Xscreensaver älter als HDMI und sogar älter als USB sei und der Code über die Jahrzehnte entsprechend angewachsen sei.

Großer Rewrite des Xscreensavers

Zawinski habe den Code nun nochmal völlig neu betrachtet und daraufhin analysiert, was wirklich in dem kritischen Teil vorhanden sein muss. Neben dem Ende des Supports für X11-Systeme, die mehr als 15 Jahre alt sind, hat Zawinski auch den Code und Aufbau von Xscreensaver grundlegend überarbeitet. Statt einer großen Binärdatei bestehe das Projekt nun aus drei ausführbaren Dateien, die zusammen auch weniger Code enthalten als vorher.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe
Golem Akademie
  1. PostgreSQL Fundamentals
    6.-9. Dezember 2021, online
  2. OpenShift Installation & Administration
    31. Januar-2. Februar 2022, online
  3. Microsoft 365 Security Workshop
    27.-29. Oktober 2021, online
Weitere IT-Trainings

Zu den wohl wichtigsten Neuerungen gehört, dass bei einem Absturz der Passworteingabe damit nun nicht mehr auch der gesamte Xscreensaver abstürzt. Das neue Verhalten ist dabei analog zur Eingabe eines falschen Passworts. Stürzt zudem der für die Grafik zuständige Code ab, sei zwar immer noch zwischenzeitlich der Desktop sichtbar, bis zum Neustart seien aber weder Maus noch Tastatur nutzbar, der Bildschirm also im Prinzip weiter gesperrt. Das Umgehen der Sperrfunktion sollte also deutlich schwieriger sein als bisher.

Da es sich bei dem neuen Ansatz um eine sehr große Änderung am Code handele, fordert Zawinski nun Nutzer dazu auf, die Vorabversion ausgiebig zu testen und vor allem zu versuchen, den Code zum Absturz zu bringen und damit die Bildschirmsperre zu umgehen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Norcoen 23. Feb 2021

welche ungesicherten Arbeiten gibt es denn heute noch so? Wenn man sich nicht eh schon...

simon.budig 22. Feb 2021

Der Artikel ist irreführend. Die Probleme in Linux-Mint wurden *nicht* durch den Code aus...

Vanger 22. Feb 2021

Nach dem Linux-"Sicherheit-ist-ein-zu-konfigurierendes-Markmal"-Mint-Fail hatte er in...



Aktuell auf der Startseite von Golem.de
Age of Empires 4 im Test
Im Galopp durch die Geschichte

Acht Völker aus aller Welt: Das Echtzeit-Strategiespiel Age of Empires 4 schickt uns auf Windows-PC in spannende Kämpfe in aller Welt.
Von Peter Steinlechner

Age of Empires 4 im Test: Im Galopp durch die Geschichte
Artikel
  1. Automatisiertes Fahren: Tesla zieht neueste Version von Full Self-Driving zurück
    Automatisiertes Fahren
    Tesla zieht neueste Version von Full Self-Driving zurück

    Die Betaversion 10.3 von Teslas Assistenzsystem Full Self-Driving wurde nach Fehlern wie falschen Kollisionswarnungen wieder zurückgezogen.

  2. Elektroautos: BMW-Hauptwerk beendet 2024 Verbrennerproduktion
    Elektroautos
    BMW-Hauptwerk beendet 2024 Verbrennerproduktion

    BMW steigt zwar nicht komplett aus dem Verbrennergeschäft aus, doch ab 2024 sollen in Münchner Stammwerk keine Verbrennungsmotoren mehr gebaut werden.

  3. HT Aero: Xpeng kündigt fliegendes Auto an
    HT Aero
    Xpeng kündigt fliegendes Auto an

    HT Aero heißt das Flugauto, das der chinesische Autohersteller Xpeng 2024 auf den Markt bringen will.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Bosch Professional & Lexware Steuersoftware bei Amazon günstiger • Alternate (u. a. Apacer 1TB SATA-SSD 86,90 & Team Group 1TB PCIe-4.0-SSD 159,90) • Asus ROG Strix Z590-A Gaming WIFI 258€ • Saturn Gutscheinheft mit Direktabzügen und Zugaben • Seagate SSDs & HDDs günstiger [Werbung]
    •  /