Stabsstelle DV-Sicherheit der
Universität Stuttgart (RUS-CERT)
https://cert.uni-stuttgart.de
logo
Meldung Nr: RUS-CERT-839

[Generic/X11] Rastern von Schriften führt zu Denial of Service
(2002-06-11 15:40:18.092627+00)


Das Rastern von Schriften kann zum Einfrieren des X-Servers führen. Unter bestimmten Voraussetzungen kann es zu X-Server- oder gar Systemabstürzen kommen.

Betroffene Systeme

Einfallstor
Dokumente, die mit Programmen verarbeitet werden, die Schriftgrößen u.ä. direkt an den X-Server weitergeben. (Mozilla 1.0 gehört z.B. zu diesen Programmen.)

Auswirkung
Die X11-Umgebung friert für längere Zeit ein, der X-Server stürzt ab, oder es kommt zu Speicherknappheit (was bei GNU/Linux zu einem nicht vorhersagbaren Systemverhalten führt).

Typ der Verwundbarkeit
Denial of Service

Gefahrenpotential
niedrig bis mittel (falls das Rastern der Schriften über einen Web-Browser kontrolliert werden kann).
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Schriften müssen vor der Darstellung auf dem Bildschirm gerastert werden, falls sie nicht als Bitmap in einer passenden Auflösung vorliegen. Dabei können zwei Effekte auftreten:

Das führt wiederum zu zwei unterschiedlichen Problemen: Es handelt sich hierbei um ein lang bekanntes Problem. Kritisch wird es vor allem dann, wenn Programme wie Web-Browser (aber auch andere textdarstellende Software, wobei die Gestaltung des Textes von Parametern aus einer nicht vertrauenswürdigen Quelle kontrolliert wird) Text nach externen Vorgaben darstellen.

Gegenmaßnahmen

Es ist gegenwärtig nicht klar, ob Mechanismen im X-Server (insbesondere XFree86) eingeführt werden, die diese Problematik entschärfen, oder ob von den Anwendungsentwicklern erwartet wird, daß diese Plausibilitätsprüfungen für Schriftgrößen in ihre Software integrieren.

Weitere Information zu diesem Thema

(fw)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/


https://cert.uni-stuttgart.de/ticker/article.php?mid=839