Abo
  • Services:
Anzeige
Ilja van Sprundel findet weitere uralte Lücken in X.org.
Ilja van Sprundel findet weitere uralte Lücken in X.org. (Bild: X.org)

X.ORG: Wieder jahrzehntealte Lücken im X-Server

Ilja van Sprundel findet weitere uralte Lücken in X.org.
Ilja van Sprundel findet weitere uralte Lücken in X.org. (Bild: X.org)

Der X-Server ist von 13 Sicherheitslücken betroffen, die sich auf verschiedene Implementierungen auswirken können. Die älteste reicht fast 30 Jahre in die erste Version von X11 zurück. Andeutungen auf die Fehler gab es bereits auf dem 30C3 vor einem Jahr.

Anzeige

"X-Sicherheit: Es ist schlimmer, als es aussieht" heißt der Vortrag des Sicherheitsforschers Ilja van Sprundel, den er vergangenes Jahr auf dem 30C3 gehalten hat. Exakte Details dazu hat der Angestellte von IOActive aber nicht bekanntgegeben, so dass die teils sehr alten Lücken nun haben behoben werden können, wie das X.org-Team mitteilt.

Die Bugs erlauben den Zugriff auf nicht initialisierten Speicher sowie das Überschreiben von beliebigem Speicher. Das kann für einen Denial-of-Service ausgenutzt werden, was einen Absturz des X-Servers hervorruft. Zudem könnten die Lücken auch zum Ausführen von Schadcode verwendet werden.

Risiko der Lücken schwer abzuschätzen

Die Schwere dieser Angriffsvektoren ist aber von der genauen Konfiguration des laufenden X-Servers abhängig. Entscheidend ist etwa, ob der Server mit oder ohne Root-Rechten läuft, ob Netzwerk-Clients erlaubt sind oder nur lokale Clients sowie ob und wie die betroffenen Erweiterungen eingesetzt werden.

Letzteres gilt vor allem für indirektes Rendering per GLX. Dabei wird das OpenGL-Rendering statt direkt von der GPU vom X-Server selbst übernommen. Dies betrifft Code, der ursprünglich von SGI entwickelt wurde und durch eine Freigabe als Open Source vom freien X-Server übertragen worden ist. Davon betroffen sein könnten aber auch sämtliche kommerzielle Implementierungen, die diesen Code von SGI verwenden.

Wieder uralte Fehler gefunden

Bereits im vergangenen Jahr fand van Sprundel diverse Lücken im X.org X-Server, darauf folgte ein Patch für 20 Jahre alte Lücken im Jahr 2013 und für eine noch ältere in diesem Frühjahr. Die älteste der nun gefundenen Lücken ist wahrscheinlich seit der ersten Veröffentlichung von X11 überhaupt vorhanden - seit 1987.

Die Fehler sollen mit dem X-Server 1.17, der für das neue Jahr geplant ist, sowie mit dem Update 1.16.3 für die aktuell gepflegte Version offiziell behoben werden. Für letztere steht bereits ein Release Candidate bereit. Distributionen und diejenigen, die den Code selbst kompilieren, können die Patches per Git selbst einspielen.


eye home zur Startseite
Ass Bestos 14. Dez 2014

hat er in irgendeinerweise geprollt, getrollt, smilies verwendet? wieso kannst du nicht...

Nebucatnetzer 11. Dez 2014

Dann versagt so ziemlich jede Software Firma. Wurde nicht grad letztens ein Windows Bug...

attitudinized 10. Dez 2014

Mir fehlt da jetzt etwas die Kreativität wie man das als Angriffsvektor verwenden kann...



Anzeige

Stellenmarkt
  1. NKM Noell Special Cranes GmbH, Würzburg, Veitshöchheim
  2. CGM Deutschland AG, Hannover
  3. Ratbacher GmbH, Coburg
  4. MediaMarktSaturn Retail Concepts, Ingolstadt


Anzeige
Hardware-Angebote
  1. ab 649,90€
  2. bei Caseking
  3. 17,82€+ 3€ Versand

Folgen Sie uns
       


  1. Werksreset

    Unitymedia stellt Senderbelegung heute in Hessen um

  2. Aero 15 X

    Mehr Frames mit der GTX 1070 im neuen Gigabyte-Laptop

  3. Review Bombing

    Valve verbessert Transparenz bei Nutzerbewertungen auf Steam

  4. Big Four

    Kundendaten von Deloitte offenbar gehackt

  5. U2F

    Yubico bringt winzigen Yubikey für USB-C

  6. Windows 10

    Windows Store wird zum Microsoft Store mit Hardwareangeboten

  7. Kabelnetz

    Eazy senkt Preis für 50-MBit/s-Zugang im Unitymedia-Netz

  8. Nintendo

    Super Mario Run wird umfangreicher und günstiger

  9. Seniorenhandys im Test

    Alter, sind die unpraktisch!

  10. PixelNN

    Mit Machine Learning unscharfe Bilder erkennbar machen



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Unterwegs auf der Babymesse: "Eltern vibrieren nicht"
Unterwegs auf der Babymesse
"Eltern vibrieren nicht"
  1. Optimierungsprogramm Ccleaner-Malware sollte wohl Techkonzerne ausspionieren
  2. Messenger Wire-Server steht komplett unter Open-Source-Lizenz
  3. Apache Struts Monate alte Sicherheitslücke führte zu Equifax-Hack

E-Paper-Tablet im Test: Mit Remarkable machen digitale Notizen Spaß
E-Paper-Tablet im Test
Mit Remarkable machen digitale Notizen Spaß
  1. Smartphone Yotaphone 3 kommt mit großem E-Paper-Display
  2. Display E-Ink-Hülle für das iPhone 7

Bundestagswahl 2017: Viagra, Datenbankpasswörter und uralte Sicherheitslücken
Bundestagswahl 2017
Viagra, Datenbankpasswörter und uralte Sicherheitslücken
  1. Zitis Wer Sicherheitslücken findet, darf sie behalten
  2. Merkel im Bundestag "Wir wollen nicht im Technikmuseum enden"
  3. TV-Duell Merkel-Schulz Die Digitalisierung schafft es nur ins Schlusswort

  1. Re: Stimme zu, kaum sinnvolle Ausstattung

    pumok | 17:17

  2. Re: Ein Preisunterschied von 1000 Euro nur im...

    eXXogene | 17:16

  3. Re: Wieviel Energie benötigt es, um von Europa...

    tha_specializt | 17:16

  4. Re: Tja, so ist es

    ArcherV | 17:14

  5. Re: Nutzen von ECC?

    tha_specializt | 17:13


  1. 17:32

  2. 17:19

  3. 17:00

  4. 16:26

  5. 15:31

  6. 13:28

  7. 13:17

  8. 12:25


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel