Lockscreen-Bug: Ubuntu mit vermeidbaren Sicherheitslücken

Der neue Lockscreen in Ubuntu hatte Sicherheitslücken, die zwar schnell behoben wurden, aber hätten vermieden werden können. Das schreiben zumindest ein X.org- und ein KDE-Entwickler, die derartige Fehler seit langem kennen.

Artikel veröffentlicht am ,
Eine Ziegenart als Namensgeber von Ubuntu 14.04: das Tahr
Eine Ziegenart als Namensgeber von Ubuntu 14.04: das Tahr (Bild: Arun Suresh/CC-BY-3.0)

Die in Ubuntu 14.04 enthaltene neue Bildschirmsperre hatte einen Fehler, der es erlaubte, die Sperre einfach zu umgehen, indem die Anwendung zum Absturz gebracht wurde. Dieser Fehler ist zwar noch vor der finalen Veröffentlichung innerhalb eines Tages behoben worden. Derartige Fehler seien aber Folge eines schlechten Designs und hätten vermieden werden können, schreiben der Entwickler des X-Screensavers Jamie Zawinski und KWin-Entwickler Martin Gräßlin.

Seit zehn Jahren dokumentiert

Stellenmarkt
  1. Informatiker / Frontend Entwickler - UI/UX Spezialist (m/w/d)
    L-Bank, Karlsruhe
  2. Senior-Softwareentwickler / Software Developer Embedded Linux (Informatiker / Ingenieur Elektrotechnik ... (m/w/d)
    S. Siedle & Söhne Telefon- und Telegrafenwerke OHG, Furtwangen
Detailsuche

Die beiden Entwickler berichten dabei aus eigener Erfahrung, denn auch sie sind mit derartigen Problemen in der Vergangenheit in Berührung gekommen. Denn der X-Server selbst habe keine eingebaute Möglichkeit, den Bildschirm zu sperren, das müssten Anwendungen übernehmen, wie Zawinski schreibt.

Diese müssten so gestaltet sein, dass sie unter keinen Umständen solche Fehler zulassen. Das heißt, sie müssten, wenn überhaupt, dann zumindest "sicher abstürzen". Das habe Zawinski schon vor über 20 Jahren mit dem X-Screensaver gemacht und im Jahr 2004 erstmals schriftlich dokumentiert. Damals hatte er beschrieben, wie Toolkits, etwa GTK, darin integriert werden könnten.

KDE mit ähnlichen Erfahrungen

Auch das KDE-Projekt hat in den vergangenen Jahren seine Bildschirmsperre grundlegend überarbeitet. Dessen Darstellung ist nun komplett in QML geschrieben, bereitete den Entwicklern aber anfangs ähnliche Probleme.

Golem Karrierewelt
  1. First Response auf Security Incidents: Ein-Tages-Workshop
    14.11.2022, Virtuell
  2. Deep-Dive Kubernetes – Production Grade Deployments: virtueller Ein-Tages-Workshop
    20.09.2022, Virtuell
Weitere IT-Trainings

Auf Google+ schreibt der KDE-Entwickler und Maintainer der Fensterverwaltung Martin Gräßlin, es sei ein explizites Ziel der Entwicklung gewesen, dass ein Absturz der Login-Anwendung den Bildschirm unter keinen Umständen freigibt. Als klarwurde, dass der ursprüngliche Plan diese nicht erlauben würde, hat das Team den Code in den Session-Server verschoben und in zwei Prozesse aufgeteilt. Kommt es zum Absturz, bricht schlimmstenfalls die gesamte Desktopsitzung ab.

Die Berichte ähneln sich insofern, als diese den Ubuntu-Entwicklern zumindest implizit unterstellen, nicht aus den Fehlern anderer in der Linux-Community zu lernen. Für die vermutlich immer noch bekannteste und am weitesten verbreitete Linux-Distribution ist das eine schwerwiegende Beurteilung. Insbesondere weil es sich um teils kritische Sicherheitslücken handelt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


honk 07. Mai 2014

Der Bug betrifft nur Unity, die Aussage das Ubuntu am verbreitesten ist, bezieht sich...

Bigfoo29 30. Apr 2014

Die Frage ist, was jemanden davon abhält, den LOCK-Screen zum Absturz zu bringen, dann...

PhilipJ.Fry 29. Apr 2014

Es geht nicht um die Sicherheitslücke an sich. Sie zeigt nur wie man bei Ubuntu arbeitet...



Aktuell auf der Startseite von Golem.de
Halbleiterfertigung
Keine modernen Belichtungsmaschinen mehr für China

Maschinen für EUV-Belichtung darf ASML bereits nicht mehr nach China exportieren, auch der Zugang zu älteren DUV-Anlagen soll gekappt werden.

Halbleiterfertigung: Keine modernen Belichtungsmaschinen mehr für China
Artikel
  1. 5G: Huawei und Ericsson erfreut über Sicherheitscheck des BSI
    5G
    Huawei und Ericsson erfreut über Sicherheitscheck des BSI

    Huawei betont, dass seine Produkte bereits nach ähnlichen Kriterien wie jetzt vom BSI auditiert wurden. Auch Ericsson will voll kooperieren.

  2. 5G: Mobilfunkstationen sollen an Strommasten hängen
    5G
    Mobilfunkstationen sollen an Strommasten hängen

    Strommasten könnten dabei helfen, neue 5G-Mobilfunkstationen zu bauen, ebenso wie Straßenlaternen oder Litfaßsäulen. Doch das hat Tücken.

  3. Games with Gold: Die Xbox-360-Neuauflagen sind alle
    Games with Gold
    Die Xbox-360-Neuauflagen sind alle

    Ab Oktober 2022 ist Schluss mit weiteren Xbox-360-Spielen in Spieleabos von Microsoft. Grund ist schlicht eine natürliche Grenze.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • PS5 bestellbar • EVGA RTX 3090 24G günstig wie nie: 1.649€ • MindStar (MSI RTX 3060 429€, MSI Optix 31,5“ WQHD 165Hz 369€) • Samsung QLED 85" günstig wie nie: 1.732,72€ • Alternate (Tower-Gehäuse & CPU-Kühler v. Raijintek) • Der beste 2.000€-Gaming-PC • LG TV 65" 120Hz -56% [Werbung]
    •  /