パスワードを忘れた? アカウント作成
14364 story

Xにローカルセキュリティホール 24

ストーリー by mhatta
普及すればリスクも増える 部門より

oddmake 曰く

heise Securityの記事より。iDefense LabはX.Org7.1-1.1.0に対して三件の脆弱性があることを発見し、9日公表した。それぞれProcRenderAddGlyphsProcDbeGetVisualInfoProcDbeSwapBuffersに係わるもの。ローカルユーザがXサーバの権限(rootで動かしていればroot)でコードを実行できるという。グラフィカルなWebブラウザを使っているユーザに、悪意をもって作成されたページを閲覧させることでroot権限を奪取できるのに使えるのではないかとiDefenseでは示唆している。X.Org Foundationではこの脆弱性を認識しパッチを準備しているという。
なお、これらの脆弱性はXFree86にもあることが確認されているとのことだ。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Stealth (5277) on 2007年01月11日 12時40分 (#1089747)

    XFree86 側を見てみた感じでは 4.6.99.16 で [xfree86.org]修正されているようですが、4.5.x どころか 4.6.0 リリース版に対するパッチすら見当たらないのはどうなのかと。

    Known Security Issue [xfree86.org] の更新もさっぱりだし、微妙な感じになっちゃっていますねぇ。

  • タレコミのタイトル (スコア:2, すばらしい洞察)

    by Takahiro_Chou (21972) on 2007年01月11日 22時30分 (#1090245) 日記
    「Xにローカルセキュリティホール」と云うタイトルを見た瞬間、X.OrgとかXFree86などの「実装」では無く、X Window SystemやXプロトコルの仕様・規格に問題が有るような印象を受けてしまったのは、ワタシだけ?
  • by Anonymous Coward on 2007年01月11日 13時10分 (#1089786)
    X.org 6.xも多分ダメですね。一応6.xもセキュリティFIXは出すという話になっていたと思うんですが…って、もう出てるわ [x.org]。
  • by Anonymous Coward on 2007年01月12日 0時30分 (#1090323)
    >ローカルユーザがXサーバの権限(rootで動かしていればroot)でコードを実行できるという。

    セキュリティホールの可能性を考えると今後は、
    XもWebサーバなどのように
    「nobodyで起動しろ」
    とかいう話になるんでしょうか?

    ところで、
    よく知らないのですがXはnobodyでも動くのでしょうか?
    なにか権限が足りなくて旨く使えない、
    なんてことは有るんでしょうか?

    (もし有ったら、我等がUNIXも
    Windowsのことをあまり笑えないことになってしまうが…)
  • パッチはパッチでも (スコア:0, すばらしい洞察)

    by Anonymous Coward on 2007年01月11日 14時23分 (#1089868)
    「適用するとXが開けなくなる」という問題は発生しないのでしょうね
    • Re:パッチはパッチでも (スコア:0, おもしろおかしい)

      by Anonymous Coward
      ×って何ですか? 00o といい、なんで伏せ字ばかり使うんですか?
      • >×って何ですか?
        Xウィンドウシステムを省略しただけでしょ。

        >00o といい、なんで伏せ字ばかり使うんですか?
        別に伏字でもなんでもない、ただの省略形だと思うけど
        CPUのことを一々「Central Processing Unit」なんて言う?
      • ・適用するとAが使えなくなる。
        ・適用するとBが使えなくなる。
        ・適用するとCが使えなくなる。
        ・適用するとDが使えなくなる。
        ・適用するとEが使えなくなる。
        ・適用すると(ry

        面倒だろう?
        変数Xとしておきゃ、後は神様が奇跡をぶち込んでくれらぁ。

        • プロジェクトの実装担当がAさんなのはよくあることです。
          でも営業が奇跡をぶちこんでくれることはありません。

          あ! AさんってのはAnonymous Cowardさんのことか
          じゃあ奇跡が起こるわけもありません orz
      • OOoに見えるのはSpirit Speakingのスキルが低いからじゃないでしょうか。

        #5年位前からUOやってないのでAC
      • OOo…シミュ、エミュ、パニャ辺りがすぐ思い付きましたが、果たして…。
typodupeerror

アレゲは一日にしてならず -- アレゲ見習い

読み込み中...