Im zentralen Bestandteil der Grafik-Infrastruktur freier Betriebssysteme wie Linux und BSD, dem Xserver (damals noch X.Org), klaffte geschlagene zwanzig Jahre lang eine Use-After-Free-Lücke.

Nachdem es von einem findigen Entwickler an das X.Org Security-Team gemeldet worden war, wurde das Speicherverwaltungsproblem nun behoben. Es stellte sich nach genauen Kontrollen des Quellcodes heraus, dass die Lücke wohl mit der Veröffentlichung von X11R6.0 im September 1993 zum ersten Mal aufgetaucht war.

Der Grafik-Server konnte durch die Sicherheitslücke mit der CVE-Nummer CVE-2013-4396 zum Absturz gebracht werden und eventuell Speicherfehler erzeugen, was oftmals der erste Schritt auf dem Weg zu einem Exploit ist. Die Entwickler arbeiten mit dem Erhalt des Patches für die Lücke nun daran, diesen nun auch in die kommenden XServer-Versionen 1.15.0 und 1.14.4 einzupflegen. Je nach Betriebssystem kann es allerdings eine Weile dauern, bis diese Versionen den Weg zum Endbenutzer finden, da die meisten Linux-Distributionen die zentrale Komponenten wie den Xserver nur mit der Veröffentlichung von ordentlichen Hauptversionen aktualisieren.

(jk, hannover)

(siehe auch Heise News-Ticker :)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE