Mehrere Sicherheitslücken in der Bibliothek Libxfont haben zur Folge, dass lokale und entfernte Angreifer Befehle mit den Rechten des Anwenders ausführen können.
Das erste Problem tritt beim Verarbeiten von “fonts.dir”- und “fonts.alias”-Dateien auf. Hierdurch kann es zu einem Heap-Overflow-Fehler kommen, der dem Angreifer erlaubt, Befehle auszuführen (CVE-2014-0209).
Eine zweite Schwachstelle tritt beim Verarbeiten bestimmter XFS-Protokoll-Nachrichten auf (CVE-2014-0210). Weiter finden sich in Libxfont andere Buffer-Overflow-Fehler in den Funktionen “fs_get_reply()”, “fs_alloc_glyphs()”, und “fs_read_extent_info()” (CVE-2014-0211).
Betroffen sind die Versionen 1.4.8, 1.4.99.901 und 1.5.0 RC1.

