Zwei Jahre alte Lücke in X11-Bildschirmschoner wieder entdeckt

Die Lücke im Bildschirmschoner xscreensaver für X11 und MacOS wurde zwar vor fast zwei Jahren behoben, trotzdem bereitet sie einigen Linux-Distributoren erneut Probleme. So gibt Ubuntu derzeit neue xcreensaver-Pakete heraus, weil das Passwort zum Entsperren unter ungünstigten Umständen nach außen gelangen kann. So "verrutscht" in besonderen Fällen der Eingabefokus, sodass das eingegebene Passwort nicht im Bildschirmschoner landet, sondern in der zuletzt fokussierten, respektive gerade aktiven Anwendung. Als besonderen Fall haben die Entwickler den Client für Remote Desktop Protocol (RDP) rdesktop ausgemacht, der in der Lage ist, xcreensaver den Fokus zu stehlen – warum er das macht, ist unklar. Anschließend landet das eingegebene Passwort auf dem anderen System. Grundsätzlich können aber auch andere Anwendungen den Fokus stibitzen.

Die Lücke ist seit Mai 2004 in xcreensaver 4.16 geschlossen, allerdings drang dies wohl nicht bis zu allen Distributoren vor. Auch der diesbezügliche Eintrag in Red Hats Fehlerdatenbank ist erst fünf Tage alt. Als möglicher Patch werden dort Codeteile von 2004 diskutiert. Zwar ist rdesktop in der Enterprise-Version 2.1 von Red Hat nicht enthalten, sicherheitshalber nimmt man sich des Themas aber an. Ein offizielles Update steht aber noch aus. Ubuntu-Anwender sind nur betroffen, wenn sie Warty Warthog (4.10) oder Hoary Hedgehog (5.04) einsetzen. Warum die Distributoren überhaupt noch so alten Code in ihren Linux-Derivaten verwenden, bleibt unbeantwortet.

Siehe dazu auch: (dab)

• xscreensaver vulnerability, Fehlerbericht von Ubuntu
• xscreensaver passes password to other applications, Fehlerbericht von Red Hat