Eine alte Sicherheitslücke im X-Server der X.org Foundation bedroht noch immer aktuelle Software. In einem Makro in einer Header-Datei von libX11 befindet sich der Bug (CVE-2013-7439). Dadurch ist sämtliche Drittherstellersoftware, die die Makros SetReqLen oder MakeBigReq der Header-Datei Xlibint.h nutzen und mit einer verwundbaren Version der Bibliothek libX11 übersetzt wurden, angreifbar.

Nach ersten Analysen befinden sich unter den potentiell betroffenen Programmen die Pakete texlive-bin, indigo, wine-gecko, iceweasel (eine Firefox-Variante) und icedove (eine Thunderbird-Variante). Es könnte in allen Linux-Distributionen Pakete geben, die mit der verwundbaren Version der Bibliothek übersetzt wurden, da die Makros unabhängig von einer Distribution verwendet werden.

Zwar scheint es derzeit keine Exploits für die Lücke zu geben, aber die X.org Foundation deutet an, dass zum Beispiel Webbrowser betroffen sind. Daher sind die Entwickler von Programmen, die mit Hilfe von X11-Headern übersetzt wurden, angehalten, den Code zu prüfen. Im März 2013 wurde die Lücke mit der Veröffentlichung von libX11 1.5.99.901 (1.6 RC1) mit einem Commit geschlossen.

(kt, hannover)

(siehe auch heise-News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE