Abo
  • Services:
Anzeige
Eine Ziegenart als Namensgeber von Ubuntu 14.04: das Tahr
Eine Ziegenart als Namensgeber von Ubuntu 14.04: das Tahr (Bild: Arun Suresh/CC-BY-3.0)

Lockscreen-Bug: Ubuntu mit vermeidbaren Sicherheitslücken

Der neue Lockscreen in Ubuntu hatte Sicherheitslücken, die zwar schnell behoben wurden, aber hätten vermieden werden können. Das schreiben zumindest ein X.org- und ein KDE-Entwickler, die derartige Fehler seit langem kennen.

Anzeige

Die in Ubuntu 14.04 enthaltene neue Bildschirmsperre hatte einen Fehler, der es erlaubte, die Sperre einfach zu umgehen, indem die Anwendung zum Absturz gebracht wurde. Dieser Fehler ist zwar noch vor der finalen Veröffentlichung innerhalb eines Tages behoben worden. Derartige Fehler seien aber Folge eines schlechten Designs und hätten vermieden werden können, schreiben der Entwickler des X-Screensavers Jamie Zawinski und KWin-Entwickler Martin Gräßlin.

Seit zehn Jahren dokumentiert

Die beiden Entwickler berichten dabei aus eigener Erfahrung, denn auch sie sind mit derartigen Problemen in der Vergangenheit in Berührung gekommen. Denn der X-Server selbst habe keine eingebaute Möglichkeit, den Bildschirm zu sperren, das müssten Anwendungen übernehmen, wie Zawinski schreibt.

Diese müssten so gestaltet sein, dass sie unter keinen Umständen solche Fehler zulassen. Das heißt, sie müssten, wenn überhaupt, dann zumindest "sicher abstürzen". Das habe Zawinski schon vor über 20 Jahren mit dem X-Screensaver gemacht und im Jahr 2004 erstmals schriftlich dokumentiert. Damals hatte er beschrieben, wie Toolkits, etwa GTK, darin integriert werden könnten.

KDE mit ähnlichen Erfahrungen

Auch das KDE-Projekt hat in den vergangenen Jahren seine Bildschirmsperre grundlegend überarbeitet. Dessen Darstellung ist nun komplett in QML geschrieben, bereitete den Entwicklern aber anfangs ähnliche Probleme.

Auf Google+ schreibt der KDE-Entwickler und Maintainer der Fensterverwaltung Martin Gräßlin, es sei ein explizites Ziel der Entwicklung gewesen, dass ein Absturz der Login-Anwendung den Bildschirm unter keinen Umständen freigibt. Als klarwurde, dass der ursprüngliche Plan diese nicht erlauben würde, hat das Team den Code in den Session-Server verschoben und in zwei Prozesse aufgeteilt. Kommt es zum Absturz, bricht schlimmstenfalls die gesamte Desktopsitzung ab.

Die Berichte ähneln sich insofern, als diese den Ubuntu-Entwicklern zumindest implizit unterstellen, nicht aus den Fehlern anderer in der Linux-Community zu lernen. Für die vermutlich immer noch bekannteste und am weitesten verbreitete Linux-Distribution ist das eine schwerwiegende Beurteilung. Insbesondere weil es sich um teils kritische Sicherheitslücken handelt.


eye home zur Startseite
honk 07. Mai 2014

Der Bug betrifft nur Unity, die Aussage das Ubuntu am verbreitesten ist, bezieht sich...

Bigfoo29 30. Apr 2014

Die Frage ist, was jemanden davon abhält, den LOCK-Screen zum Absturz zu bringen, dann...

PhilipJ.Fry 29. Apr 2014

Es geht nicht um die Sicherheitslücke an sich. Sie zeigt nur wie man bei Ubuntu arbeitet...



Anzeige

Stellenmarkt
  1. ING-DiBa AG, Nürnberg
  2. Smartsteuer GmbH, Hannover
  3. diconium GmbH, Stuttgart
  4. Deutsche Hypothekenbank AG, Hannover


Anzeige
Top-Angebote
  1. (u. a. Huawei P8 Lite 2017 für 179€)
  2. 499,99€ - Aktuell nicht mehr bestellbar. Gelegentlich bezüglich Verfügbarkeit auf der...
  3. (u. a. Sony Alpha 6000 Bundle für 499€ und Lenovo C2 für 59€)

Folgen Sie uns
       


  1. PowerVR 9XE/9XM und PowerVR 2NX

    Imagination Technologies bringt eigenen AI-Beschleuniger

  2. Auslastung

    Wenn es Abend wird im Kabelnetz

  3. Milliarden-Deal

    Google kauft Smartphone-Teile von HTC

  4. MPEG

    H.265-Nachfolger kann 30 bis 60 Prozent Verbesserung bringen

  5. Liberty Global

    Giga-Standard Docsis 3.1 kommt im ersten Quartal 2018

  6. Apache-Sicherheitslücke

    Optionsbleed bereits 2014 entdeckt und übersehen

  7. Tianhe-2A

    Zweitschnellster Supercomputer wird doppelt so flott

  8. Autonomes Fahren

    Japan testet fahrerlosen Bus auf dem Land

  9. Liberty Global

    Unitymedia-Mutterkonzern hat Probleme mit Amazon

  10. 18 Milliarden Dollar

    Finanzinvestor Bain übernimmt Toshibas Speichergeschäft



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Zukunft des Autos: "Unsere Elektrofahrzeuge sollen typische Porsche sein"
Zukunft des Autos
"Unsere Elektrofahrzeuge sollen typische Porsche sein"
  1. Concept EQA Mercedes elektrifiziert die Kompaktklasse
  2. GLC F-Cell Mercedes stellt SUV mit Brennstoffzelle und Akku vor
  3. ID Crozz VW stellt elektrisches Crossover vor

Optionsbleed: Apache-Webserver blutet
Optionsbleed
Apache-Webserver blutet
  1. Open Source Projekt Oracle will Java EE abgeben

Kein App Store mehr: iOS-Nutzer sollten das neue iTunes nicht installieren
Kein App Store mehr
iOS-Nutzer sollten das neue iTunes nicht installieren
  1. Betriebssystem Apple veröffentlicht Goldmaster für iOS, tvOS und WatchOS
  2. iPhone iOS 11 bekommt Schutz gegen unerwünschte Memory-Dumps
  3. IOS 11 Epic Games rettet Infinity Blade ins 64-Bit-Zeitalter

  1. "Füllrate pro Quadratmillimeter"

    rubberduck09 | 09:06

  2. Re: 50Mbit und guter Ping 24/7/365 Telekom...

    Bautz | 09:05

  3. Re: Als Android-Nutzer beneide ich euch

    Niaxa | 09:03

  4. Re: "Vodafone sieht sich nicht betroffen"

    besterwosgibt | 09:03

  5. Re: Vodafone Cable in Berlin Verbindungsabbrüche

    Arschi | 09:02


  1. 09:00

  2. 08:00

  3. 07:10

  4. 07:00

  5. 18:10

  6. 17:45

  7. 17:17

  8. 16:47


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel