Abo
  • Services:

Lockscreen-Bug: Ubuntu mit vermeidbaren Sicherheitslücken

Der neue Lockscreen in Ubuntu hatte Sicherheitslücken, die zwar schnell behoben wurden, aber hätten vermieden werden können. Das schreiben zumindest ein X.org- und ein KDE-Entwickler, die derartige Fehler seit langem kennen.

Artikel veröffentlicht am ,
Eine Ziegenart als Namensgeber von Ubuntu 14.04: das Tahr
Eine Ziegenart als Namensgeber von Ubuntu 14.04: das Tahr (Bild: Arun Suresh/CC-BY-3.0)

Die in Ubuntu 14.04 enthaltene neue Bildschirmsperre hatte einen Fehler, der es erlaubte, die Sperre einfach zu umgehen, indem die Anwendung zum Absturz gebracht wurde. Dieser Fehler ist zwar noch vor der finalen Veröffentlichung innerhalb eines Tages behoben worden. Derartige Fehler seien aber Folge eines schlechten Designs und hätten vermieden werden können, schreiben der Entwickler des X-Screensavers Jamie Zawinski und KWin-Entwickler Martin Gräßlin.

Seit zehn Jahren dokumentiert

Stellenmarkt
  1. Robert Bosch GmbH, Stuttgart
  2. CSL Behring GmbH, Marburg, Hattersheim am Main

Die beiden Entwickler berichten dabei aus eigener Erfahrung, denn auch sie sind mit derartigen Problemen in der Vergangenheit in Berührung gekommen. Denn der X-Server selbst habe keine eingebaute Möglichkeit, den Bildschirm zu sperren, das müssten Anwendungen übernehmen, wie Zawinski schreibt.

Diese müssten so gestaltet sein, dass sie unter keinen Umständen solche Fehler zulassen. Das heißt, sie müssten, wenn überhaupt, dann zumindest "sicher abstürzen". Das habe Zawinski schon vor über 20 Jahren mit dem X-Screensaver gemacht und im Jahr 2004 erstmals schriftlich dokumentiert. Damals hatte er beschrieben, wie Toolkits, etwa GTK, darin integriert werden könnten.

KDE mit ähnlichen Erfahrungen

Auch das KDE-Projekt hat in den vergangenen Jahren seine Bildschirmsperre grundlegend überarbeitet. Dessen Darstellung ist nun komplett in QML geschrieben, bereitete den Entwicklern aber anfangs ähnliche Probleme.

Auf Google+ schreibt der KDE-Entwickler und Maintainer der Fensterverwaltung Martin Gräßlin, es sei ein explizites Ziel der Entwicklung gewesen, dass ein Absturz der Login-Anwendung den Bildschirm unter keinen Umständen freigibt. Als klarwurde, dass der ursprüngliche Plan diese nicht erlauben würde, hat das Team den Code in den Session-Server verschoben und in zwei Prozesse aufgeteilt. Kommt es zum Absturz, bricht schlimmstenfalls die gesamte Desktopsitzung ab.

Die Berichte ähneln sich insofern, als diese den Ubuntu-Entwicklern zumindest implizit unterstellen, nicht aus den Fehlern anderer in der Linux-Community zu lernen. Für die vermutlich immer noch bekannteste und am weitesten verbreitete Linux-Distribution ist das eine schwerwiegende Beurteilung. Insbesondere weil es sich um teils kritische Sicherheitslücken handelt.



Anzeige
Top-Angebote
  1. beim Kauf eines 100€ Amazon-Geschenkgutscheins
  2. (heute u. a. Xbox Game Pass 3 Monate für 19,99€, Steelbooks wie Spider-Man Homecoming Blu-ray...
  3. (u. a. Samsung UE-55NU7179 TV 455€)

honk 07. Mai 2014

Der Bug betrifft nur Unity, die Aussage das Ubuntu am verbreitesten ist, bezieht sich...

Bigfoo29 30. Apr 2014

Die Frage ist, was jemanden davon abhält, den LOCK-Screen zum Absturz zu bringen, dann...

PhilipJ.Fry 29. Apr 2014

Es geht nicht um die Sicherheitslücke an sich. Sie zeigt nur wie man bei Ubuntu arbeitet...


Folgen Sie uns
       


Apple Pay ausprobiert

Dank Apple Pay können nun auch Nutzer in Deutschland kontaktlos mit ihrem iPhone bezahlen. Wir haben den Dienst bei unserem Lieblingscafé ausprobiert.

Apple Pay ausprobiert Video aufrufen
Command & Conquer (1995): Trash und Trendsetter
Command & Conquer (1995)
Trash und Trendsetter

Golem retro_ Grünes Gold, Kane und - jedenfalls in Deutschland - Cyborgs statt Soldaten stehen im Mittelpunkt aller Nostalgie für Command & Conquer.
Von Oliver Nickel

  1. Playstation Classic im Test Sony schlampt, aber Rettung naht

Yuneec H520: 3D-Modell aus der Drohne
Yuneec H520
3D-Modell aus der Drohne

Multikopter werden zunehmend auch kommerziell verwendet. Vor allem machen die Drohnen Luftbilder und Inspektionsflüge und vermessen. Wir haben in der Praxis getestet, wie gut das mit dem Yuneec H520 funktioniert.
Von Dirk Koller


    Lift Aircraft: Mit Hexa können auch Fluglaien abheben
    Lift Aircraft
    Mit Hexa können auch Fluglaien abheben

    Hexa ist ein Fluggerät, das ähnlich wie der Volocopter, von 18 Rotoren angetrieben wird. Gesteuert wird das Fluggerät per Joystick - von einem Piloten, der dafür keine Ausbildung oder Lizenz benötigt.

    1. Plimp Egan Airships verleiht dem Luftschiff Flügel
    2. Luftfahrt Irische Luftaufsicht untersucht Ufo-Sichtung
    3. Hoher Schaden Das passiert beim Einschlag einer Drohne in ein Flugzeug

      •  /