X.Org und Xwayland: Sicherheitslücken ermöglichen Codeschmuggel
Mehrere Sicherheitslücken in X.Org und Xwayland ermöglichen Angreifern das Einschmuggeln von Schadcode. Updates stehen zum Teil bereit.
(Bild: Erstellt mit KI in Bing Designer durch heise online / dmk)
Im X.org X11-Server und Xwayland wurden mehrere Sicherheitslücken entdeckt. Sie ermöglichen Angreifern unter Umständen etwa das Einschleusen und Ausführen von Schadcode. Die großen Linux-Distributionen verteilen bereits aktualisierte Pakete.
Der Entdecker der Lücken, Jan-Niklas Sohn, hat laut Ubuntu die acht Schwachstellen gemeldet. Als Zusammenfassung schreiben die Ubuntu-Maintainer, dass der X.org X-Server bestimmte Speicher-Operationen nicht korrekt gehandhabt hat: "Angreifer können diese Probleme nutzen, um den X-Server zum Absturz zu bringen, was in einen Denial-of-Service mündet, oder möglicherweise beliebigen Code ausführen." Wie solche Angriffe genauer aussehen könnten und sich erkennen ließen, erörtern die Autoren der Sicherheitsmitteilung jedoch nicht. Auf der X.org-Mailingliste ist auch eine Sicherheitsmeldung erschienen. Die Versionen xorg-server-21.1.16 and xwayland-24.1.6 stopfen demzufolge die Sicherheitslecks.
Aktualisierte X.org- und Xwayland-Pakete
Ubuntu verteilt bereits aktualisierte Pakete, für Ubuntu 20.04, 22.04, 24.04 und 24.10. Nach der Installation der Updates sollen Betroffene die Systeme neu starten, um die nötigen Änderungen vornehmen zu lassen. Redhat hat ebenfalls Updates im Programm. Zum Meldungszeitpunkt scheint SUSE noch an aktualisierten Paketen zu arbeiten, auf der Debian "Security-Announce"-Mailingliste finden sich im Februar ebenfalls noch keine Hinweise auf Updates. Diese dürften jedoch in Kürze erscheinen. Admins sollten sie bei Verfügbarkeit zügig anwenden, sofern der X.Org-Server und Xwayland etwa aus Kompatibilitätsgründen noch auf den Systemen installiert sind.
Videos by heise
Die Sicherheitslücken im Einzelnen:
- A use-after-free flaw was found in X.Org and Xwayland CVE-2025-26594, CVSS 7.8, Risiko "hoch"
- A buffer overflow flaw was found in X.Org and Xwayland CVE-2025-26595, CVSS 7.8, hoch
- A heap overflow flaw was found in X.Org and Xwayland CVE-2025-26596, CVSS 7.8, hoch
- A buffer overflow flaw was found in X.Org and Xwayland CVE-2025-26597, CVSS 7.8, hoch
- An out-of-bounds write flaw was found in X.Org and Xwayland CVE-2025-26598, CVSS 7.8, hoch
- An access to an uninitialized pointer flaw was found in X.Org and Xwayland CVE-2025-26599, CVSS 7.8, hoch
- A use-after-free flaw was found in X.Org and Xwayland CVE-2025-26600, CVSS 7.8, hoch
- A use-after-free flaw was found in X.Org and Xwayland CVE-2025-26601, CVSS 7.8, hoch
(dmk)
