Der Sicherheitsforscher Narendra Shinde hat eine Schwachstelle im X.Org-Server-Paket entdeckt, die eine nicht autorisierte Ausweitung von Nutzerrechten erlaubt. Ein Angreifer mit eingeschränkten Nutzerrechten kann unter Umständen überall im System Dateien erstellen oder überschreiben, selbst wenn dafür eigentlich höhere Benutzerrechte erforderlich sind. Die angreifbare Option „-logfile“ wurde demnach bereits 2016 eingeführt.
Der Fehler ist auch als schwerwiegend einzustufen, weil das X.Org-Server-Paket in der Linux- und BSD-Welt sehr weit verbreitet ist. Unter anderem setzten die Desktop-Umgebungen KDE und Gnome auf X.Org Server. Die Technik kommt aber auch bei anderen Linux- und BSD-Distributionen zum Einsatz, die eine Fenster-basierte Oberfläche haben.
Laut einem Blogeintrag von Narendra Shinde werden insgesamt zwei Befehlszeilenparameter nicht korrekt verarbeitet. Ein Angreifer kann mit ihrer Hilfe eigenen Code einschleusen und ausführen. Allerdings kann der Bug nur ausgenutzt werden, wenn X.Org Server so konfiguriert wurde, dass Code mit Root-Rechten ausgeführt wird – was bei vielen Distributionen ab Werk der Fall ist.
Die Entwickler der X.Org Foundation haben bereits einen Fix entwickelt, der Bestandteil des seit gestern verfügbaren Updates auf X.Org Server 1.20.3 ist. Das Update deaktiviert die fraglichen Befehlszeilenparameter, falls X.Org Server mit Root-Rechten läuft.
Unter anderem sind die Distributionen Red Hat Enterprise Linux, Fedora, CentOS, Debian, Ubuntu und OpenBSD angreifbar. Die Anbieter der Distributionen sollten die verfügbaren Patches in Kürze an ihre Nutzer ausliefern. Da inzwischen auch ein Proof-of-Concept zur Verfügung steht, sollten Betroffene die Updates so schnell wie möglich installieren. „Ein Angreifer kann tatsächlich ein anfälliges System mit drei Befehlen oder weniger übernehmen“, twitterte Matthew Hickey, Chef des britischen Cybersicherheitsfirma Hacker House, die den Proof-of-Concept entwickelt hat.
Für viele Unternehmen ist noch immer unklar, welche Vorteile ein cloudbasiertes Contact Center bietet. Dieses E-Book von Genesys löst die Mythen rund um Cloud Contact Center auf.
Der Sicherheitscheck entzieht unsicheren Websites automatisch alle Berechtigungen. Zudem können Nutzer in Chrome künftig Websites…
Ontinue registriert einen Anstieg beim Anteil am Gesamtangriffsvolumen um 105 Prozent. Das Angriffsvolumen auf den…
Das o1 genannte Modell liegt als Preview vor. Bei einer Mathematikprüfung beantwortet es 83 Prozent…
Das Kennzeichen erhalten Zoom Workplace Pro und Zoom Workplace Basic. Es bescheinigt unter anderem aktuelle…
iOS und iPadOS erhalten Tab-Gruppen. Zudem unterstützt Chrome nun die Synchronisierung von Tab-Gruppen.
Sie befürchten einen Missbrauch der Identitäten von Verstorbenen. 60 Prozent befürworten deswegen eine Klärung des…