Leck im X Window System entdeckt

EnterpriseSicherheit

Das US-Unternehmen Coverity hat nach eigenen Angaben ein Sicherheitsloch im ‘X Window System’ entdeckt.

Das X Window System ist eine Sammlung von Protokollen, Programmen und Standards zur Steuerung grafischer Bildschirme und zur Anzeige einer grafischen Benutzeroberfläche. Die Benutzeroberfläche kommt auf Millionen Computern zum Einsatz – hauptsächlich Unix- und Linux-Systemen. Apple liefert das X Window System mit Macintosh-Computern als optionale grafische Benutzeroberfläche. 

Coverity stellt Lösungen für die Quellcodeanalyse her. Das Leck in den Versionen ‘X11R6.9.0’ und ‘X11R7.0.0’ des X Window System entdeckten die Coverity-Mitarbeiter im Rahmen einer Analyse von 31 Open-Source-Projekten, die sie im Auftrag des US-Heimatschutzministeriums durchführen.

Ursache des Sicherheitslecks war eine fehlende Klammer in einem kleinen Codeabschnitt, von dem die Identität (ID) des Benutzers geprüft wird. Dieser Fehler – Folge des scheinbar harmlosen Fehlens einer schließenden Klammer – ermöglichte lokalen Benutzern die Ausführung von Code mit Root-Rechten und damit das Überschreiben von Systemdateien sowie das Auslösen von Denial-of-Service-Angriffen.

Die Versionen X11R6.9.0 und X11R7.0.0 des X Window System wurden im Dezember 2005 von den Open-Source-Entwicklern der X.Org Foundation veröffentlicht. Die beiden Versionen stellten einen Meilenstein dar, da es sich um die wichtigsten Updates des X Window System seit etwa zehn Jahren handelte.

Mittlerweile wurde das Leck vom X.Org-Entwicklerteam behoben. Coverity hat derweil ein System für die ständige Analyse des X Window Systems implementiert, mit dem sich das Einschleichen neuer Fehler verhindern lassen soll.