23.01.2012
Sicherheit
Linux-Bildschirmsperre leicht zu umgehen
Autor: Thorsten Eggeling
Ein Blogger hat eine Sicherheitslücke im X-Server von X.org veröffentlicht. Mit einer einfachen Tastenkombination kann bei Linux-Systemen die per Bildschirmschoner aktivierte Bildschirmsperre ausgehebelt werden.
Durch einen Zufall hat der französische Blogger Gu1 in der Version 1.11 des X-Servers von X.org eine Sicherheitslücke entdeckt. Wenn der Bildschirm eines Linux/Unix-Systems durch den Bildschirmschoner gesperrt wird, ist normalerweise ein Passwort nötig, damit der Benutzer wieder auf den Desktop zugreifen kann. Bei einigen Systemen genügt es aber die Tasten Strg und Alt zusammen mit der „*“-Taste oder „/“-Taste auf dem Nummernblock zu drücken, um die Sperre aufzuheben. Eine Passworteingabe ist also nicht erforderlich, um Zugriff auf den Computer zu erlangen.
Der+Who-t+%28Who-T%29: X.org-Entwickler Peter Hutterer sieht die Verantwortung dafür in einem Kommunikationsproblem unter den Entwicklern. Diese Tastenkombination ist normalerweise nur für das Debugging zuständig. Die Option Allowclosedowngrabs erlaubt mit der Tastenkombination laufender Anwendungen zu beenden. Erstmals wurde sie 2008 eingesetzt, war aber standardmäßig deaktiviert. Damals haben die Entwickler sogar in der Dokumentation vor der Funktion gewarnt. Seit September 2011 ist die Funktion in der Version 1.11 des Xservers aber standardmäßig aktiviert und die Entwickler hatten vergessen, die Tastenkombination aus der Xkb-Keymap herauszunehmen.
Die Sicherheitslücke befindet sich in allen Distributionen, die die X-Server-Version 1.11 von X.org ausliefern. Dazu gehören beispielsweise Fedora 16, Debian (unstable und testing), Arch Linux, BSD, Solaris, Ubuntu 12.04 LTS. Welche X.org-Version auf Ihrem PC läuft, können Sie ermitteln, wenn Sie X -version in einem Terminalfenster eingeben.
Für Fedora 16 gibt es mit dem Paket xkeyboard-config-2.3-3.fc16 bereits ein Sicherheitsupdate, das sich über die Paketverwaltung installieren lässt. Benutzer der anderen betroffenen Systeme sollten sich bei Verlassen des PCs abmelden und sich nicht auf die Bildschirmsperre verlassen, bis ein Update verfügbar ist.
Identity First
Strategien gegen Identitätsdiebe
Digitale Identitäten stehen mittlerweile im Fokus der meisten Cyberattacken. Identity Threat Detection and Response (ITDR) soll davor schützen.
>>
Swisscom
Neue Cyberbedrohungen auf dem Radar
Der neue Cyber Security Threat Radar von Swisscom zeigt die Angriffsmethoden und das Vorgehen von Cyberkriminellen. Er beleuchtet neu auch die Entwicklungen in den Bereichen "Disinformation & Destabilisation", "Manipulated Generative AI" und "Unsecure IoT/OT-Devices".
>>
Zum Welt-Passwort-Tag
"95 % der Cyber-Sicherheitsprobleme sind auf menschliche Fehler zurückzuführen"
Am 2. Mai ist Welt-Passwort-Tag. Ein guter Anlass für den Frühlingsputz bei alten Logins und ein grundsätzliches Überdenken der eigenen Cybersecurity. Miro Mitrovic von Proofpoint gibt dazu einige konkrete Tipps.
>>
Tools
GitLab Duo Chat mit KI-Chat-Unterstützung
Der DevSecOps-Plattform-Anbieter GitLab führt den GitLab Duo Chat ein. Dieses Tool integriert Künstliche Intelligenz in die DevSecOps-Workflows.
>>