Abo
  • IT-Karriere:

Lockscreen-Bug: Ubuntu mit vermeidbaren Sicherheitslücken

Der neue Lockscreen in Ubuntu hatte Sicherheitslücken, die zwar schnell behoben wurden, aber hätten vermieden werden können. Das schreiben zumindest ein X.org- und ein KDE-Entwickler, die derartige Fehler seit langem kennen.

Artikel veröffentlicht am ,
Eine Ziegenart als Namensgeber von Ubuntu 14.04: das Tahr
Eine Ziegenart als Namensgeber von Ubuntu 14.04: das Tahr (Bild: Arun Suresh/CC-BY-3.0)

Die in Ubuntu 14.04 enthaltene neue Bildschirmsperre hatte einen Fehler, der es erlaubte, die Sperre einfach zu umgehen, indem die Anwendung zum Absturz gebracht wurde. Dieser Fehler ist zwar noch vor der finalen Veröffentlichung innerhalb eines Tages behoben worden. Derartige Fehler seien aber Folge eines schlechten Designs und hätten vermieden werden können, schreiben der Entwickler des X-Screensavers Jamie Zawinski und KWin-Entwickler Martin Gräßlin.

Seit zehn Jahren dokumentiert

Stellenmarkt
  1. Computacenter AG & Co. oHG, verschiedene Standorte
  2. Schaeffler Technologies AG & Co. KG, Herzogenaurach

Die beiden Entwickler berichten dabei aus eigener Erfahrung, denn auch sie sind mit derartigen Problemen in der Vergangenheit in Berührung gekommen. Denn der X-Server selbst habe keine eingebaute Möglichkeit, den Bildschirm zu sperren, das müssten Anwendungen übernehmen, wie Zawinski schreibt.

Diese müssten so gestaltet sein, dass sie unter keinen Umständen solche Fehler zulassen. Das heißt, sie müssten, wenn überhaupt, dann zumindest "sicher abstürzen". Das habe Zawinski schon vor über 20 Jahren mit dem X-Screensaver gemacht und im Jahr 2004 erstmals schriftlich dokumentiert. Damals hatte er beschrieben, wie Toolkits, etwa GTK, darin integriert werden könnten.

KDE mit ähnlichen Erfahrungen

Auch das KDE-Projekt hat in den vergangenen Jahren seine Bildschirmsperre grundlegend überarbeitet. Dessen Darstellung ist nun komplett in QML geschrieben, bereitete den Entwicklern aber anfangs ähnliche Probleme.

Auf Google+ schreibt der KDE-Entwickler und Maintainer der Fensterverwaltung Martin Gräßlin, es sei ein explizites Ziel der Entwicklung gewesen, dass ein Absturz der Login-Anwendung den Bildschirm unter keinen Umständen freigibt. Als klarwurde, dass der ursprüngliche Plan diese nicht erlauben würde, hat das Team den Code in den Session-Server verschoben und in zwei Prozesse aufgeteilt. Kommt es zum Absturz, bricht schlimmstenfalls die gesamte Desktopsitzung ab.

Die Berichte ähneln sich insofern, als diese den Ubuntu-Entwicklern zumindest implizit unterstellen, nicht aus den Fehlern anderer in der Linux-Community zu lernen. Für die vermutlich immer noch bekannteste und am weitesten verbreitete Linux-Distribution ist das eine schwerwiegende Beurteilung. Insbesondere weil es sich um teils kritische Sicherheitslücken handelt.



Anzeige
Hardware-Angebote
  1. 199€ + Versand
  2. ab 234,90€
  3. 99,90€

honk 07. Mai 2014

Der Bug betrifft nur Unity, die Aussage das Ubuntu am verbreitesten ist, bezieht sich...

Bigfoo29 30. Apr 2014

Die Frage ist, was jemanden davon abhält, den LOCK-Screen zum Absturz zu bringen, dann...

PhilipJ.Fry 29. Apr 2014

Es geht nicht um die Sicherheitslücke an sich. Sie zeigt nur wie man bei Ubuntu arbeitet...


Folgen Sie uns
       


Sekiro - Test

Ein einsamer Kämpfer und sein Katana stehen im Mittelpunkt von Sekiro - Shadows Die Twice. Das Actionspiel von From Software schickt Spieler in ein spannendes Abenteuer voller Herausforderungen.

Sekiro - Test Video aufrufen
Adblock Plus: Adblock-Filterregeln können Code ausführen
Adblock Plus
Adblock-Filterregeln können Code ausführen

Unter bestimmten Voraussetzungen können Filterregeln für Adblocker mit einer neuen Funktion Javascript-Code in Webseiten einfügen. Adblock Plus will reagieren und die entsprechende Funktion wieder entfernen. Ublock Origin ist nicht betroffen.
Von Hanno Böck

  1. Urheberrecht Axel-Springer-Verlag klagt erneut gegen Adblocker
  2. Whitelisting erlaubt Kartellamt hält Adblocker-Nutzung für "nachvollziehbar"
  3. Firefox Klar Mozilla testet offenbar Adblocker

Anno 1800 im Test: Super aufgebaut
Anno 1800 im Test
Super aufgebaut

Ach, ist das schön: In Anno 1800 sind wir endlich wieder in einer heimelig-historischen Welt unterwegs - zumindest anfangs. Das neue Werk von Blue Byte fesselt dank des toll umgesetzten und unverwüstlichen Spielprinzips. Auch neue Elemente wie die Klassengesellschaft funktionieren.
Von Peter Steinlechner

  1. Ubisoft Blue Byte Anno 1800 erhält Koop-Modus und mehr Statistiken
  2. Ubisoft Blue Byte Preload der offenen Beta von Anno 1800 eröffnet
  3. Systemanforderungen Anno 1800 braucht schnelle CPU

Elektromobilität: Was hat ein Kanu mit Autos zu tun?
Elektromobilität
Was hat ein Kanu mit Autos zu tun?

Veteranen der deutschen Autoindustrie wollen mit Canoo den Fahrzeugbau und den Vertrieb revolutionieren. Zunächst scheitern die großen Köpfe aber an den kleinen Hürden der Startupwelt.
Ein Bericht von Dirk Kunde

  1. EU Unfall-Fahrtenschreiber in Autos ab 2022 Pflicht
  2. Verkehrssenatorin Fahrverbot für Autos in Berlin gefordert
  3. Ventomobil Mit dem Windrad auf Rekordjagd

    •  /