Abo
  • IT-Karriere:

X.ORG: Wieder jahrzehntealte Lücken im X-Server

Der X-Server ist von 13 Sicherheitslücken betroffen, die sich auf verschiedene Implementierungen auswirken können. Die älteste reicht fast 30 Jahre in die erste Version von X11 zurück. Andeutungen auf die Fehler gab es bereits auf dem 30C3 vor einem Jahr.

Artikel veröffentlicht am ,
Ilja van Sprundel findet weitere uralte Lücken in X.org.
Ilja van Sprundel findet weitere uralte Lücken in X.org. (Bild: X.org)

"X-Sicherheit: Es ist schlimmer, als es aussieht" heißt der Vortrag des Sicherheitsforschers Ilja van Sprundel, den er vergangenes Jahr auf dem 30C3 gehalten hat. Exakte Details dazu hat der Angestellte von IOActive aber nicht bekanntgegeben, so dass die teils sehr alten Lücken nun haben behoben werden können, wie das X.org-Team mitteilt.

Stellenmarkt
  1. Universität Potsdam, Potsdam
  2. Vodafone GmbH, München

Die Bugs erlauben den Zugriff auf nicht initialisierten Speicher sowie das Überschreiben von beliebigem Speicher. Das kann für einen Denial-of-Service ausgenutzt werden, was einen Absturz des X-Servers hervorruft. Zudem könnten die Lücken auch zum Ausführen von Schadcode verwendet werden.

Risiko der Lücken schwer abzuschätzen

Die Schwere dieser Angriffsvektoren ist aber von der genauen Konfiguration des laufenden X-Servers abhängig. Entscheidend ist etwa, ob der Server mit oder ohne Root-Rechten läuft, ob Netzwerk-Clients erlaubt sind oder nur lokale Clients sowie ob und wie die betroffenen Erweiterungen eingesetzt werden.

Letzteres gilt vor allem für indirektes Rendering per GLX. Dabei wird das OpenGL-Rendering statt direkt von der GPU vom X-Server selbst übernommen. Dies betrifft Code, der ursprünglich von SGI entwickelt wurde und durch eine Freigabe als Open Source vom freien X-Server übertragen worden ist. Davon betroffen sein könnten aber auch sämtliche kommerzielle Implementierungen, die diesen Code von SGI verwenden.

Wieder uralte Fehler gefunden

Bereits im vergangenen Jahr fand van Sprundel diverse Lücken im X.org X-Server, darauf folgte ein Patch für 20 Jahre alte Lücken im Jahr 2013 und für eine noch ältere in diesem Frühjahr. Die älteste der nun gefundenen Lücken ist wahrscheinlich seit der ersten Veröffentlichung von X11 überhaupt vorhanden - seit 1987.

Die Fehler sollen mit dem X-Server 1.17, der für das neue Jahr geplant ist, sowie mit dem Update 1.16.3 für die aktuell gepflegte Version offiziell behoben werden. Für letztere steht bereits ein Release Candidate bereit. Distributionen und diejenigen, die den Code selbst kompilieren, können die Patches per Git selbst einspielen.



Anzeige
Spiele-Angebote
  1. 0,49€
  2. 2,99€
  3. 2,22€

Ass Bestos 14. Dez 2014

hat er in irgendeinerweise geprollt, getrollt, smilies verwendet? wieso kannst du nicht...

Nebucatnetzer 11. Dez 2014

Dann versagt so ziemlich jede Software Firma. Wurde nicht grad letztens ein Windows Bug...

Anonymer Nutzer 10. Dez 2014

Mir fehlt da jetzt etwas die Kreativität wie man das als Angriffsvektor verwenden kann...


Folgen Sie uns
       


Amazon Basics PC-Peripherie ausprobiert

Amazons Basics-Reihe beinhaltet eine Reihe von PC-Peripheriegeräten. Wir haben uns alles nötige bestellt und überprüft, ob sich ein Kauf der Produkte lohnt.

Amazon Basics PC-Peripherie ausprobiert Video aufrufen
Chromium: Der neue Edge-Browser könnte auch Chrome besser machen
Chromium
Der neue Edge-Browser könnte auch Chrome besser machen

Build 2019 Wie sieht die Zukunft des Edge-Browsers aus und was will Microsoft zum Chromium-Projekt beitragen? Im Gespräch mit Golem.de gibt das Unternehmen die vage Aussicht auf einen Release für Linux und Verbesserungen in Google Chrome. Bis dahin steht viel Arbeit an.
Von Oliver Nickel

  1. Insiderprogramm Microsoft bietet Vorversionen von Edge für den Mac an
  2. Browser Edge auf Chromium-Basis wird Netflix in 4K unterstützen
  3. Browser Microsoft lässt nur Facebook auf Flash-Whitelist in Edge

Strom-Boje Mittelrhein: Schwimmende Kraftwerke liefern Strom aus dem Rhein
Strom-Boje Mittelrhein
Schwimmende Kraftwerke liefern Strom aus dem Rhein

Ein Unternehmen aus Bingen will die Strömung des Rheins nutzen, um elektrischen Strom zu gewinnen. Es installiert 16 schwimmende Kraftwerke in der Nähe des bekannten Loreley-Felsens.

  1. Speicherung von Überschussstrom Wasserstoff soll bei Engpässen helfen
  2. Energiewende DLR-Forscher bauen Kohlekraftwerke zu Stromspeichern um
  3. Erneuerbare Energien Wellenkraft als Konzentrat

Oneplus 7 Pro im Hands on: Neue Konkurrenz für die Smartphone-Oberklasse
Oneplus 7 Pro im Hands on
Neue Konkurrenz für die Smartphone-Oberklasse

Parallel zum Oneplus 7 hat das chinesische Unternehmen Oneplus auch das besser ausgestattete Oneplus 7 Pro vorgestellt. Das Smartphone ist mit seiner Kamera mit drei Objektiven für alle Fotosituationen gewappnet und hat eine ausfahrbare Frontkamera - das hat aber seinen Preis.
Ein Hands on von Ingo Pakalski

  1. Smartphone Oneplus 7 Pro hat kein echtes Dreifach-Tele
  2. Oneplus Upgrade auf Android 9 für Oneplus 3 und 3T wird verteilt
  3. Smartphones Android-Q-Beta für Oneplus-7-Modelle veröffentlicht

    •  /