Abo
  • Services:
Anzeige
Eine Ziegenart als Namensgeber von Ubuntu 14.04: das Tahr
Eine Ziegenart als Namensgeber von Ubuntu 14.04: das Tahr (Bild: Arun Suresh/CC-BY-3.0)

Lockscreen-Bug: Ubuntu mit vermeidbaren Sicherheitslücken

Der neue Lockscreen in Ubuntu hatte Sicherheitslücken, die zwar schnell behoben wurden, aber hätten vermieden werden können. Das schreiben zumindest ein X.org- und ein KDE-Entwickler, die derartige Fehler seit langem kennen.

Anzeige

Die in Ubuntu 14.04 enthaltene neue Bildschirmsperre hatte einen Fehler, der es erlaubte, die Sperre einfach zu umgehen, indem die Anwendung zum Absturz gebracht wurde. Dieser Fehler ist zwar noch vor der finalen Veröffentlichung innerhalb eines Tages behoben worden. Derartige Fehler seien aber Folge eines schlechten Designs und hätten vermieden werden können, schreiben der Entwickler des X-Screensavers Jamie Zawinski und KWin-Entwickler Martin Gräßlin.

Seit zehn Jahren dokumentiert

Die beiden Entwickler berichten dabei aus eigener Erfahrung, denn auch sie sind mit derartigen Problemen in der Vergangenheit in Berührung gekommen. Denn der X-Server selbst habe keine eingebaute Möglichkeit, den Bildschirm zu sperren, das müssten Anwendungen übernehmen, wie Zawinski schreibt.

Diese müssten so gestaltet sein, dass sie unter keinen Umständen solche Fehler zulassen. Das heißt, sie müssten, wenn überhaupt, dann zumindest "sicher abstürzen". Das habe Zawinski schon vor über 20 Jahren mit dem X-Screensaver gemacht und im Jahr 2004 erstmals schriftlich dokumentiert. Damals hatte er beschrieben, wie Toolkits, etwa GTK, darin integriert werden könnten.

KDE mit ähnlichen Erfahrungen

Auch das KDE-Projekt hat in den vergangenen Jahren seine Bildschirmsperre grundlegend überarbeitet. Dessen Darstellung ist nun komplett in QML geschrieben, bereitete den Entwicklern aber anfangs ähnliche Probleme.

Auf Google+ schreibt der KDE-Entwickler und Maintainer der Fensterverwaltung Martin Gräßlin, es sei ein explizites Ziel der Entwicklung gewesen, dass ein Absturz der Login-Anwendung den Bildschirm unter keinen Umständen freigibt. Als klarwurde, dass der ursprüngliche Plan diese nicht erlauben würde, hat das Team den Code in den Session-Server verschoben und in zwei Prozesse aufgeteilt. Kommt es zum Absturz, bricht schlimmstenfalls die gesamte Desktopsitzung ab.

Die Berichte ähneln sich insofern, als diese den Ubuntu-Entwicklern zumindest implizit unterstellen, nicht aus den Fehlern anderer in der Linux-Community zu lernen. Für die vermutlich immer noch bekannteste und am weitesten verbreitete Linux-Distribution ist das eine schwerwiegende Beurteilung. Insbesondere weil es sich um teils kritische Sicherheitslücken handelt.


eye home zur Startseite
honk 07. Mai 2014

Der Bug betrifft nur Unity, die Aussage das Ubuntu am verbreitesten ist, bezieht sich...

Bigfoo29 30. Apr 2014

Die Frage ist, was jemanden davon abhält, den LOCK-Screen zum Absturz zu bringen, dann...

PhilipJ.Fry 29. Apr 2014

Es geht nicht um die Sicherheitslücke an sich. Sie zeigt nur wie man bei Ubuntu arbeitet...



Anzeige

Stellenmarkt
  1. DATAGROUP Köln GmbH, Essen
  2. CGM Deutschland AG, Hannover
  3. regio iT aachen gesellschaft für informationstechnologie mbh, Aachen
  4. Robert Bosch GmbH, Schwieberdingen


Anzeige
Spiele-Angebote
  1. 19,49€
  2. 19,99€ - Release 19.10.
  3. 8,49€

Folgen Sie uns
       


  1. MacOS 10.13

    Apple gibt High Sierra frei

  2. WatchOS 4.0 im Test

    Apples praktische Taschenlampe mit autarkem Musikplayer

  3. Werksreset

    Unitymedia stellt Senderbelegung heute in Hessen um

  4. Aero 15 X

    Mehr Frames mit der GTX 1070 im neuen Gigabyte-Laptop

  5. Review Bombing

    Valve verbessert Transparenz bei Nutzerbewertungen auf Steam

  6. Big Four

    Kundendaten von Deloitte offenbar gehackt

  7. U2F

    Yubico bringt winzigen Yubikey für USB-C

  8. Windows 10

    Windows Store wird zum Microsoft Store mit Hardwareangeboten

  9. Kabelnetz

    Eazy senkt Preis für 50-MBit/s-Zugang im Unitymedia-Netz

  10. Nintendo

    Super Mario Run wird umfangreicher und günstiger



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Bundestagswahl 2017: Viagra, Datenbankpasswörter und uralte Sicherheitslücken
Bundestagswahl 2017
Viagra, Datenbankpasswörter und uralte Sicherheitslücken
  1. Bundestagswahl 2017 Union und SPD verlieren, Jamaika-Koalition rückt näher
  2. Zitis Wer Sicherheitslücken findet, darf sie behalten
  3. Merkel im Bundestag "Wir wollen nicht im Technikmuseum enden"

Olympus Tough TG5 vs. Nikon Coolpix W300: Die Schlechtwetter-Kameras
Olympus Tough TG5 vs. Nikon Coolpix W300
Die Schlechtwetter-Kameras
  1. Mobilestudio Pro 16 im Test Wacom nennt 2,2-Kilogramm-Grafiktablet "mobil"
  2. HP Z8 Workstation Mit 3 TByte RAM und 56 CPU-Kernen komplexe Bilder rendern
  3. Meeting Owl KI-Eule erkennt Teilnehmer in Meetings

VR: Was HTC, Microsoft und Oculus mit Autos zu tun haben
VR
Was HTC, Microsoft und Oculus mit Autos zu tun haben
  1. Zukunft des Autos "Unsere Elektrofahrzeuge sollen typische Porsche sein"
  2. Concept EQA Mercedes elektrifiziert die Kompaktklasse
  3. GLC F-Cell Mercedes stellt SUV mit Brennstoffzelle und Akku vor

  1. Re: Das stimmt imho so nicht, ...

    Der Held vom... | 20:23

  2. Das ist schon heftig.

    JouMxyzptlk | 20:21

  3. Zusammenhang Dateisystem und Anwendung

    whiper | 20:21

  4. Re: potthässlich ...

    kazhar | 20:19

  5. Re: Der Preis war schon damals ok

    blaub4r | 20:19


  1. 19:40

  2. 19:00

  3. 17:32

  4. 17:19

  5. 17:00

  6. 16:26

  7. 15:31

  8. 13:28


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel