X.org-Lücke nach 20 Jahren gestopft
Ein Speicherverwaltungsproblem im freien Grafik-Server von fast allen Linux- und BSD-Varianten wurde nach langer Zeit gefunden und behoben. Alle Versionen seit 1993 sind betroffen.
- Fabian A. Scherschel
Geschlagene zwanzig Jahre lang klaffte eine Use-After-Free-Lücke im Xserver (damals noch X.Org), dem zentralen Bestandteil der Grafik-Infrastruktur freier Betriebssysteme wie Linux und BSD. Das Speicherverwaltungsproblem wurde nun behoben, nachdem es von einem findigen Entwickler an das X.Org Security-Team gemeldet worden war. Nach händischer Kontrolle des Quellcodes stellte sich heraus, dass die Lücke wohl mit der Veröffentlichung von X11R6.0 im September 1993 zum ersten Mal aufgetaucht war. Alle seit dem veröffentlichten Xserver-Versionen sind anfällig.
Die Sicherheitslücke mit der CVE-Nummer CVE-2013-4396 könnte dazu genutzt werden, den Grafik-Server zum Absturz zu bringen und eventuell Speicherfehler zu verursachen. Dies ist oft der erste Schritt auf dem Weg zu einem Exploit. Mit dem Erhalt des Patches für die Lücke arbeiten die Entwickler nun daran, diesen nun auch in die kommenden XServer-Versionen 1.15.0 und 1.14.4 einzupflegen. Bis diese Versionen den Weg zum Endbenutzer finden, kann es je nach Betriebssystem allerdings eine Weile dauern. Die meisten Linux-Distributionen aktualisieren zentrale Komponenten wie den Xserver nur mit der Veröffentlichung von ordentlichen Hauptversionen. (fab)
