Sicherheitslücken in X.Org X Server und Xwayland behoben

Da hat jemand wohl versucht, ein bisschen in den X.Org X Server und Xwayland herumzuschnüffeln und dabei ein paar unschöne Sicherheitslücken entdeckt. Aber keine Sorge, die Entwickler haben schnell reagiert und neue Softwarepakete veröffentlicht, um diese Lücken zu stopfen. Denn wer braucht schon Angreifer, die ihre Rechte ausweiten oder Denial-of-Service-Angriffe starten können? Nicht wir!

Also, was genau waren diese Lücken? Es scheint, als ob ein Puffer für Datenkopieraktionen im Heap nicht richtig berechnet wurde. Das führt dazu, dass Schreibzugriffe über die Grenzen des Speichers hinaus möglich sind. So können die Angreifer ihre Rechte ausweiten oder die Software zum Absturz bringen. Klingt nach einer ziemlich unschönen Sache, oder? Die Sicherheitsleute haben das Ganze sogar eine hohe Risikobewertung gegeben (CVE-2023-5367, CVSS 7.8).

Aber das ist noch nicht alles! Es gibt noch eine weitere Schwachstelle, die den xorg-x11-server-Xvfb betrifft. Hier haben wir es mit einem Use-after-free-Fehler zu tun, der ähnliche Möglichkeiten für die Bösewichte bietet. Allerdings ist dafür eine spezielle Konfiguration erforderlich, nämlich der Multi-Screen-Betrieb, der auch als Zaphod-Modus bekannt ist (CVE-2023-5574, CVSS 7.0). Also, wenn ihr euren Bildschirm aufteilt und ein bisschen wie ein Zauberer ausseht, dann seid ihr potenziell gefährdet. Passt auf euch auf!

Zum Glück haben die Entwickler bereits aktualisierte Pakete veröffentlicht, um diese Probleme zu beheben. Die neuen Versionen heißen xorg-server-21.1.9 und xwayland-23.2.2. Mit diesen Updates wird die erste Sicherheitslücke mit hohem Risiko behoben. Das ist doch mal eine gute Nachricht! Leider gibt es für die zweite Lücke (CVE-2023-5574) noch keine Lösung, da es noch Probleme mit den vorgeschlagenen Fixes gibt. Aber hey, besser eine Lücke geschlossen als gar keine, oder?

Also, liebe Unix- und Linux-Nutzer, öffnet eure Softwareverwaltung und schaut nach Updates. Installiert die verfügbaren Aktualisierungen, um die Sicherheitsrisiken zu minimieren. Denn niemand will, dass sein Computer von einem fiesen Angreifer gehackt wird. Das wäre ja fast so schlimm wie ein Kater nach einer durchzechten Nacht!

Und übrigens, falls ihr euch fragt, wie es in der Zukunft mit X.Org X Server und Xwayland weitergeht: Es sieht nicht allzu rosig aus. Die Verwendung von X11 wird immer weniger beliebt. KDE Plasma setzt ab Version 6.0 standardmäßig auf Wayland und auch das Gnome-Projekt plant, den X11-Support schrittweise einzustellen. Also wird der gute alte X.Org X Server und Xwayland wohl mit der Zeit an Bedeutung verlieren. Aber hey, alles ändert sich, nicht wahr?

Schlagwörter: XOrg X Server + Xwayland + Sicherheitslücken

Wie bewerten Sie den Schreibstil des Artikels?
1 Star2 Stars3 Stars4 Stars5 Stars
  • 26. Oktober 2023
FEHLER!