Libxfont: Angreifer kann Befehle ausführen

Mehrere Sicherheitslücken in der Bibliothek Libxfont haben zur Folge, dass lokale und entfernte Angreifer Befehle mit den Rechten des Anwenders ausführen können.

Das erste Problem tritt beim Verarbeiten von “fonts.dir”- und “fonts.alias”-Dateien auf. Hierdurch kann es zu einem Heap-Overflow-Fehler kommen, der dem Angreifer erlaubt, Befehle auszuführen (CVE-2014-0209).

Eine zweite Schwachstelle tritt beim Verarbeiten bestimmter XFS-Protokoll-Nachrichten auf (CVE-2014-0210). Weiter finden sich in Libxfont andere Buffer-Overflow-Fehler in den Funktionen “fs_get_reply()”, “fs_alloc_glyphs()”, und “fs_read_extent_info()” (CVE-2014-0211).

Betroffen sind die Versionen 1.4.8, 1.4.99.901 und 1.5.0 RC1.

Nach oben